A cura di Paola Furiosi, Giulia Iozzia, Andrea Strippoli, Edoardo di Maggio e Francesco Gaggioli
Il 12 settembre 2025 ha segnato un punto di svolta nel quadro della EU Digital Strategy: è infatti diventato pienamente applicabile il Regolamento (UE) 2023/2854, il Data Act.
Tale Regolamento introduce una disciplina uniforme in materia di accesso, utilizzo e circolazione dei dati generati da prodotti connessi (cd. Internet of Things – IoT) e servizi correlati immessi nel mercato dell’Unione europea. Il perimetro dei prodotti e servizi coinvolti è molto ampio: si pensi, ad esempio, ad autoveicoli intelligenti, elettrodomestici connessi, contatori elettrici smart e soluzioni IoT utilizzati in contesti industriali. L’ampia portata di questa normativa, sia per il numero di operatori economici coinvolti sia per la trasversalità dei dati soggetti ai nuovi obblighi, rende il Data Act un tassello fondamentale nella compliance di un gran numero di aziende europee (e non soltanto).
Il Data Act attribuisce a utenti finali e imprese il diritto di accedere ai dati generati dai propri prodotti IoT e servizi correlati e di condividerli con altri operatori, al fine di contrastare il fenomeno, tipicamente digitale, del cd vendor lock-in e sbloccare l’enorme potenziale economico dei dati, sempre più visti in chiave di veri e propri asset strategici.
La possibilità per l’utente di accedere ai dati generati dall’utilizzo del proprio prodotto IoT si converte, per fabbricanti, venditori, locatori e fornitori di servizi, nella necessità di:
- Progettare i prodotti e i servizi in modo tale da garantire all’utente la portabilità e la disponibilità dei dati interessati, compresi i metadati necessari a interpretarli, in un formato completo, strutturato e comunemente utilizzato. Si tratta di un significativo passo in avanti rispetto al diritto alla portabilità riconosciuto dal GDPR, in quanto non si limita ai dati personali, ma si estende anche ai dati di carattere non personale. Per i dati personali, tuttavia, resta necessario adempiere anche agli obblighi previsti dal GDPR.
- Assicurare agli utenti la possibilità di poter accedere direttamente ai dati generati, integrando il principio di “access by design” nella progettazione dei prodotti IoT e dei servizi correlati, laddove tecnicamente possibile.
- Informare i clienti sulle capacità di raccolta dati dei prodotti IoT, specificando natura, formato e volume dei dati raccolti, nonché illustrando diritti e modalità concrete di accesso e condivisione.
- Garantire i diritti degli utenti alla condivisione dei dati con terze parti designate. Tale condivisione, per essere conforme al Data Act, dovrà avvenire a condizioni eque, ragionevoli e non discriminatorie. In tal senso, il Regolamento tipizza una serie di clausole abusive.
Nonostante il carattere ampio degli obblighi introdotti dal Data Act, il Regolamento riconosce specifiche salvaguardie a tutela delle imprese detentrici di dati (data holders):
- Sono inclusi nell’ambito di applicazione soltanto i raw and pre-processed data (i.e. dati grezzi) che non siano stati oggetto di attività di raffinamento, restando esclusi i dati che, a seguito di arricchimento o elaborazione, possono essere protetti mediante diritti di proprietà intellettuale.
- La condivisione di dati qualificabili come segreti commerciali è subordinata all’adozione di misure adeguate di riservatezza (e.g. accordi di riservatezza, clausole contrattuali tipo, protocolli di accesso), con la possibilità per il data holder di sospendere la condivisione o impedire l’accesso ai dati al ricorrere di determinate circostanze (cd. trade secrets handbrake). Rispetto alla Direttiva UE n. 2016/943 sui segreti commerciali, il Data Act richiede infatti di valutare i potenziali rischi per i segreti commerciali non ex post (dopo la divulgazione), ma ex ante (prima della condivisione dei dati).
- Infine, i dati accessibili ai sensi del Data Act non possono essere utilizzati per sviluppare, produrre o commercializzare prodotti in concorrenza con il prodotto IoT da cui i dati sono stati originariamente generati.
Queste tutele, tuttavia, non esonerano le imprese dagli adempimenti richiesti: la piena applicabilità del Data Act impone, infatti, agli operatori economici di adottare una serie di misure concrete, tra cui:
- eseguire una mappatura analitica dei dati in proprio possesso, al fine di capire quali rientrano nell’ambito di applicazione del Regolamento;
- compiere un’accurata analisi dei propri dati al fine di individuare informazioni suscettibili di essere protette mediante segreti commerciali;
- verificare che i contratti con i soggetti interessati siano in linea con i requisiti di data sharing previsti dal Data Act, revisionando la contrattualistica in essere a favore di modelli contrattuali conformi cheprevedano condizioni eque, ragionevoli e non discriminatorie, e che non contengano clausole abusive;
- istituire un framework operativo che consenta di processare le richieste di accesso e condivisione dei dati.
In parallelo, i fornitori di Data Processing Services (i.e. fornitori di servizi cloud) dovranno, ai sensi del Capitolo VI del Regolamento, rimuovere ogni ostacolo che renda difficile per i clienti cambiare fornitore, sia dal punto di vista tecnico, incrementando l’interoperabilità fra le diverse piattaforme, sia dal punto di vista contrattuale e commerciale. Tali operatori dovranno altresì garantire che i clienti possano recedere dal rapporto contrattuale con un preavviso minimo, e agevolare la migrazione in uscita dei dati e delle applicazioni su altre piattaforme.
Al netto delle incertezze legate al perdurante ritardo nella designazione di un’autorità competente per la supervisione a livello nazionale e dell’attuale assenza di un apparato sanzionatorio interno, il Data Act apre un nuovo capitolo nella trasformazione digitale.
In questo scenario, la conoscenza approfondita del Data Act non rappresenta soltanto un requisito essenziale per la conformità del proprio modello operativo, ma anche una leva strategica per sfruttare appieno le potenzialità offerte da questo nuovo strumento normativo e trarre un vantaggio competitivo differenziale.
Let’s Talk
Per una discussione più approfondita ti preghiamo di contattare: