Il Data Act, entrato in vigore nel gennaio 2024 e direttamente applicabile dal 12 settembre 2025, (Regolamento UE 2023/2854) rappresenta uno dei pilastri della strategia europea per l’economia dei dati.
Come spesso accade con normative di portata così ampia e innovativa, la sua implementazione pratica ha richiesto (e continuerà a richiedere) un progressivo affinamento interpretativo.
La pubblicazione della versione 1.3 delle FAQ ufficiali da parte della Commissione europea nel settembre 2025, segna una tappa decisiva in questo percorso, anche attraverso un approccio alla compliance più operativo.
Indice degli argomenti
Data act: dalle prime letture alle interpretazioni più recenti
Le prime letture del Regolamento Data Act hanno privilegiato un’impostazione formalistica, che imponeva assetti di compliance rigorosi ma spesso difficili da attuare.
Ne sono derivate incertezze diffuse sul mercato: molte imprese faticavano a tradurre requisiti generali in processi operativi, con incertezze sul perimetro applicativo.
La interpretazioni più recenti evidenziano invece una maggiore aderenza alle realtà tecnologiche.
Il nuovo paradigma dell’accessibilità nel Data Act
Un punto chiave che è stato chiarito in via interpretativa riguarda il principio di accessibilità dei dati.
Gli obblighi di cui al Capo II del Data Act si applicano in relazione ai dati “prontamente disponibili” per il titolare dei dati (data holder).
In termini pratici, ciò significa che:
- quando i dati sono effettivamente accessibili al data holder, si applica l’obbligo di metterli a disposizione dell’utente e, su richiesta di quest’ultimo, di terzi;
- se il prodotto connesso è progettato in modo da non memorizzare o trasmettere i dati all’esterno (ad esempio perché restano esclusivamente nel dispositivo), tali dati non sono considerati “prontamente disponibili” e gli obblighi di cui al Capo II del Regolamento non si applicano.
Questa precisazione contenuta nella FAQ 5a definisce con maggiore chiarezza i casi in cui l’accesso deve essere garantito: non tutti i dati generati da un prodotto connesso sono automaticamente da rendere disponibili in ogni circostanza. In particolare, questa precisazione parrebbe superare il contrasto apparente tra la definizione di “prodotto connesso” e la previsione dell’art. 3 (1) del Data Act, laddove quest’ultima impone di progettare i prodotti connessi in modo tale che i dati generati attraverso l’uso di un prodotto connesso siano accessibili agli utenti.
Tuttavia, la stessa Commissione Europea lascia aperta la strada per un ampliamento dell’ambito di applicazione della definizione di “dati prontamente disponibili” laddove, nella FAQ 13a, chiarisce che “ogniqualvolta esistano mezzi ragionevoli per ricollegare i dati a un utente specifico o a un prodotto connesso senza modifiche sostanziali del sistema o senza costi, i dati rimangono “prontamente disponibili” per essere richiesti ai sensi degli articoli 4 e 5″. L’uso della formula “mezzi ragionevoli” ha già causato e ancora causa dubbi interpretativi con riferimento alle questioni di anonimizzazione dei dati personali[1], tuttavia è l’intera precisazione della Commissione che lascia spazio a ulteriori riflessioni e, se del caso, incertezze.
In primo luogo, si nota che la Commissione privilegia, ancora una volta, un’interpretazione secondo cui, nella misura in cui un soggetto (ad esempio, il produttore) abbia un controllo di fatto dei dati, esso ricade nel campo di applicazione della definizione di data holder[2].
In secondo luogo, la formulazione “senza modifiche sostanziali del sistema o senza costi” non è immediatamente conciliabile con la parte della definizione di cui all’art. 2, n. 17) del Data Act in cui si evidenzia che sono dati prontamente disponibili quelli che il titolare dei dati può ottenere “(…) senza che ciò implichi uno sforzo sproporzionato che vada al di là di una semplice operazione“. Il criterio dello “sforzo sproporzionato” dettato dal Regolamento pare, quindi, di natura meramente tecnica (“semplice operazione”) e non vi è traccia di riferimenti ai “costi”, che invece sono presi in considerazione dalla Commissione: l’uso della locuzione “o” (“o senza costi”) lascia quasi intendere che il criterio dell’assenza di costi possa fungere da criterio autonomo.
Tecnologie di privacy enhancement: un bilanciamento complesso nel Data Act
Un altro aspetto cruciale riguarda il ruolo delle Tecnologie di miglioramento della privacy (“Privacy-Enhancing Technologies” – “PETs”) nel quadro del Data Act.
La Commissione Europea ha chiarito che l’implementazione di PETs non comporta automaticamente l’esenzione dagli obblighi previsti dal Regolamento (vedasi FAQ 13a). Più che di un’evoluzione interpretativa, in questo caso si tratta di una conferma del fatto che, benché il GDPR formalmente prevalga sul Data Act, di fatto gli obblighi derivanti dall’uno e dall’altro Regolamento – con particolare riferimento al Capo II del Data Act – sono applicabili congiuntamente e in maniera coordinata.
Inoltre, secondo la Commissione Europea, “nelle situazioni in cui i dati vengono trasferiti dal dispositivo al server backend del titolare dei dati, gli utenti e i terzi di loro scelta dovrebbero avere una ragionevole possibilità (cfr. domanda 5a, considerando 24) di ottenere una copia dei dati generati da un prodotto connesso prima che i dati vengano anonimizzati o crittografati“. Questa precisazione è dirimente nel risolvere una questione centrale ai fini dell’ampiezza del diritto di accesso ex artt. 3 e 4 del Data Act. Ci si chiede, infatti, se il diritto di accesso implichi per l’utente anche il diritto di ottenere copia dei dati generati attraverso l’uso del prodotto connesso. Tale questione è particolarmente decisiva con riferimento ai dati non personali, dal momento che, per quanto concerne i dati personali, il diritto di ottenerne copia è già previsto dall’art. 15 (3) del GDPR.
Coordinamento tra Data Act e GDPR
La Commissione conferma un’interpretazione ragionevole e condivisibile, a mente della quale se l’utente che richiede i dati ai sensi del Data Act è anche un interessato ai sensi del GDPR, la sua richiesta di dati è paragonabile ad una richiesta di accesso ai sensi dell’art. 15 del GDPR. Se l’utente chiede la portabilità dei dati a terzi ai sensi del Data Act, la situazione è paragonabile all’art. 20 del GDPR. Nulla quaestio su questo punto.
Più problematico è, invece, l’orientamento della Commissione – in ogni caso assolutamente in linea con il Considerando 7 del Data Act – secondo il quale se invece l’utente non è anche un interessato ai sensi del GDPR, il Data Act non può fungere di per sé quale base giuridica per comunicare dati personali: il data holder dovrà allora individuare una base giuridica autonoma per fornire l’accesso o per rendere disponibili i dati personali. Come chiarisce la Commissione, si tratta chiaramente di quelle situazioni di “multiutenza”, cioè i casi di utenti multipli e situazioni di utenti stratificati con proprietari e locatari.
Considerazioni conclusive
Ci pare che quanto sopra evidenziato rappresenti solo uno dei vari passaggi che porteranno (probabilmente non senza occasioni di contenzioso) alla definizione del perimetro dei diritti e degli obblighi scaturenti dal Capo II del Data Act.
Se alcune conferme interpretative sono benvenute, altre precisazioni della Commissione rischiano di alimentare i dubbi, invece che dissiparli, in particolare per quanto concerne l’ambito oggettivo di applicazione del Regolamento (si vedano, ad esempio, le precisazioni con riferimento alla definizione di “dati prontamente disponibili”).
Note
[1] Si veda la sentenza della Corte di Giustizia dell’Unione Europea nella Causa C-582/14 Breyer c. Bundesrepublik Deutschland, Sentenza del 19 ottobre 2016, punti da 42 a 48.
[2] Sul punto, si veda il contributo di A. Racano ed E. Macher, La definizione di “Titolare dei dati” ai sensi del Data Act: sfide interpretative, Il Quotidiano Giuridico, Settembre 2025.
