La crescita esponenziale dei dispositivi connessi in ambito consumer e industriale consente di generare una mole di dati senza precedenti, per lo più nelle mani di produttori e fornitori di servizi digitali. Questi dataset sono utili per vari scopi, dal miglioramento e creazione di nuovi prodotti e servizi allo sviluppo di tool di AI, ad esempio per attività di manutenzione predittiva.
A partire dal 12 settembre 2025 entreranno in vigore diritti e obblighi che modificheranno profondamente l’accesso, la condivisione e l’utilizzo di questi dati.
Il Regolamento (UE) 2023/2954 (“Data Act“) segna infatti un cambio di paradigma: punta a riequilibrare il rapporto tra chi produce e chi utilizza dispositivi connessi, garantendo nuovi diritti di accesso e condivisione dei dati e spronando l’innovazione digitale in tutte le filiere produttive e nei servizi per i consumatori. Si tratta di una svolta normativa che tende a sbloccare il valore nascosto nei dataset IoT (Internet of Things), favorendo trasparenza, circolarità dei dati e una più equa distribuzione del controllo sulle informazioni generate.
Indice degli argomenti
Prodotti connessi, servizi correlati e tipi di dati
Il Capo II del Data Act si applica a una vasta gamma di dispositivi fisici dotati di software che generano dati, detti “prodotti connessi”: ad esempio, macchinari industriali, device smart per consumatori, veicoli connessi e qualunque prodotto fisico connesso.
Il termine “connesso” va inteso in senso ampio. Non riguarda la semplice connessione diretta mediante LAN o Wi-Fi; rientrano nella definizione tutti i prodotti fisici dotati di software che generano dati e sono in grado di trasmetterli all’esterno, ad esempio anche mediante una semplice pennetta usb.
In questo campo rientrano anche i servizi necessari al funzionamento dei prodotti connessi, detti “servizi correlati”. I servizi correlati sono, appunto, quei servizi che consentono una bidirezionalità con il prodotto connesso, in quanto ricevono dati e, mediante comandi o impostazioni, sono in grado di influenzarne il comportamento (accenderlo, spegnerlo, attivarne funzioni e via dicendo).
Il Data Act concerne tanto i dati personali quanto quelli non personali (come i log di funzionamento di un macchinario industriale) e si applica indistintamente ai rapporti business-to-business (B2B) e business-to-consumer (B2C).
I soggetti coinvolti e i relativi obblighi
Nel nuovo perimetro regolatorio emergono due ruoli centrali:
- Titolare dei dati (data holder): colui che, controllando il funzionamento del prodotto o del servizio correlato, ha un controllo sui dati generati. Può essere il produttore, il fornitore di servizi o un altro soggetto che gestisce le informazioni.
- Utente (user): chi utilizza il prodotto connesso o il servizio correlato, sia esso un’impresa o un consumatore privato.
Si noti che la definizione di titolare dei dati non riguarda solo i produttori: è titolare dei dati anche chi offre servizi correlati o chi, più in generale, ha un controllo di fatto sui dati nel contesto del funzionamento dei prodotti connessi e servizi correlati (la definizione di titolare dei dati è molto controversa ed è stata criticata dalla dottrina per diversi aspetti, ma questa sembra, a chi scrive, l’interpretazione più ragionevole e pare anche quella condivisa dalla maggior parte dei commentatori).
Allo stesso tempo, anche soggetti che non hanno alcuna relazione con i dati sono soggetti a obblighi ai sensi del Data Act. Infatti, il Data Act prevede obblighi anche in capo a soggetti come venditori, noleggiatori, etc. In particolare, chiunque commercializzi prodotti connessi o servizi correlati (anche tramite noleggio) deve fornire, già in fase precontrattuale, una serie di informazioni sui dati (es. natura, volume stimato, frequenza, etc.). Anche se tali soggetti non hanno alcun controllo sui dati, sono obbligati a garantire che l’informazione al cliente sia trasparente, chiara e completa, sulla base delle informazioni ricevute a monte, generalmente dal produttore.
Diritti fondamentali di accesso e condivisione dei dati
Dal 12 settembre 2025 sono pienamente applicabili i nuovi obblighi e diritti fondamentali:
- l’utente ha diritto di chiedere e ottenere gratuitamente l’accesso ai dati generati dal proprio utilizzo di prodotti/servizi connessi, direttamente dal titolare dei dati;
- l’accesso ai dati deve essere continuo, e in tempo reale (ove tecnicamente possibile) e privo di ostacoli ingiustificati;
- su richiesta dell’utente, il data holder deve trasmettere i dati a un terzo soggetto indicato dall’utente stesso (ad es. un nuovo manutentore). Un eventuale corrispettivo – purché sia ragionevole – può essere richiesto solo a quest’ultimo e non all’utente;
- indipendentemente dal contratto, non è più possibile per i data holder utilizzare o condividere con terzi i dati (personali e non personali) se non sulla base di un accordo specifico con l’utente che ne stabilisca espressamente le finalità. Ciò riguarda, tra l’altro, attività come miglioramento dei prodotti e servizi, sviluppo di nuovi servizi e addestramento di sistemi di intelligenza artificiale.
A meno che non ricorrano determinate condizioni (si veda l’art. 7 del Data Act), in generale, gli obblighi di accesso e condivisione non si applicano alle micro e piccole imprese (imprese con un fatturato non superiore a dieci milioni di euro di fatturato e che occupa meno di cinquanta persone).
Inoltre, come chiarito sopra, già in fase precontrattuale il venditore e, in generale, chi commercializza (anche tramite noleggio) i prodotti connessi nonché i fornitori di servizi correlati devono fornire all’utente una serie di informazioni sui dati.
Cosa cambia dal 12 settembre 2025 e dal 12 settembre 2026
A partire dalla prima data, ogni titolare dei dati dovrà assicurarsi che utenti e terzi da loro indicati possano effettivamente accedere ai dati generati dall’uso dei prodotti connessi, nei modi sopra descritti. Non saranno più tollerate barriere tecniche, informative o contrattuali ingiustificate.
Infatti, il Data Act introduce una tutela specifica contro le c.d. clausole abusive nei rapporti B2B. In particolare, a partire dal 12 settembre 2025, nei contratti tra imprese relativi all’accesso, uso o condivisione dei dati, non sono ammesse clausole che impongano limiti ingiustificati o sproporzionati all’accesso o alla condivisione dei dati stessi (art. 13 del Data Act). Sono considerate abusive (e quindi inefficaci) quelle clausole che, ad esempio limitano la possibilità per l’utente di accedere ai dati e di condividerli con terzi o che impongono condizioni eccessivamente onerose, restrizioni tecniche non necessarie o costi sproporzionati.
La tutela presente nell’art. 13 del Data Act riguarda le sole clausole abusive tra imprese perché i consumatori sono già tutelati per le clausole vessatorie ai sensi degli artt. 33 e ss. del d.lgs. 206/2005 (Codice del Consumo).
Il Data Act, dunque, rafforza il principio per cui nessuna disposizione contrattuale può escludere o restringere in modo ingiustificato i diritti di accesso e condivisione previsti dal Regolamento stesso. Va sottolineato che la tutela contro le clausole abusive si applica oltre i confini dell’IoT, cioè del Capo II del Data Act, perché mira a garantire una tutela alle imprese ogni qual volta ci siano clausole relative ai dati.
Dal 12 settembre 2026, invece, scatta un altro obbligo a carico dei produttori: i nuovi prodotti connessi e servizi correlati dovranno essere progettati tecnologicamente per consentire da subito agli utenti l’accesso diretto ai dati.
Quindi, il Data Act prevede due tipi di accesso ai dati da parte degli utenti: un accesso c.d. indiretto, cioè su richiesta, che dovrà essere garantito a far data dal 12 settembre 2025 e un accesso diretto, senza alcuna intermediazione del data holder, che dovrà essere garantito per impostazione predefinita dal 12 settembre 2026. Il secondo dei due obblighi riguarda solo i produttori.
Impatti concreti e prospettive future
Il Data Act è un regolamento molto complesso e, anzi, tratta argomenti così diversi tra loro che sembra una raccolta di normative diverse, accomunate tutte dal fil rouge dei dati e dalla finalità di armonizzazione dell’equità dell’accesso a questi ultimi.
L’impatto sarà veramente significativo anche in relazione a determinati business model basati sulla monetizzazione di determinate informazioni che, da settembre, dovranno essere messe a disposizione gratuitamente.
Comprendere cosa si può fare e cosa si deve fare nel mondo IoT, sia B2C ma soprattutto B2B, è fondamentale per sfruttare legittimamente, utilmente e proficuamente i dati.
