Dal 12 settembre 2025 l’Europa ha cambiato le regole sui dati industriali. Con il Data Act, l’UE introduce un nuovo quadro normativo che garantisce accesso, portabilità e controllo dei dati generati da macchine e dispositivi connessi, promuovendo innovazione, concorrenza leale e una distribuzione più equa del valore nell’economia dei dati. Ma vediamo di che si tratta.
Indice degli argomenti
Che cosa cambia con il Data Act
Il Data Act rafforza il potere dei consumatori e delle imprese, offrendo loro un maggior controllo sui dati generati dai dispositivi connessi – dai veicoli alle smart TV fino ai macchinari industriali – e favorendo un ecosistema europeo dei dati maggiormente equo e competitivo.
La normativa rende possibile uno scambio sicuro ed efficiente dei dati industriali imponendo che i dispositivi immessi sul mercato UE siano progettati per facilitarne la condivisione, oltre a: ampliare la libertà di scelta dei consumatori; garantire alle imprese l’accesso ai dati operativi delle attrezzature; consentire il passaggio agevole tra provider cloud; vietare pratiche contrattuali che ostacolano la circolazione dei dati.
I nove capi del regolamento e gli effetti extraterritoriali
Seguendo le disposizioni generali (Capo I), che definiscono l’ambito del regolamento e i termini chiave, il Data Act si articola in nove capi che intervengono su aspetti chiave, quali:
Capo II – Condivisione dei dati business-to-business e business-to-consumer nel contesto dell’IoT – Gli utenti di oggetti IoT possono accedere, utilizzare e trasferire dati che co-generano attraverso l’uso di un prodotto connesso.
Capo III – Obblighi per i titolari dei dati tenuti a mettere a disposizione i dati a norma del diritto dell’unione – Esso chiarisce le condizioni di condivisione dei dati ovunque un’azienda sia obbligata per legge, incluso tramite il Data Act, a condividere dati con un’altra impresa.
Capo IV – Clausole contrattuali abusive imposte unilateralmente a un’altra impresa– Si tratta di disposizioni che proteggono tutte le imprese, in particolare le PMI, contro le clausole contrattuali ingiuste imposte a loro.
Capo V – Obbligo di mettere a disposizione i dati sulla base di necessità eccezionali (condivisione dei dati tra aziende e governi) – Gli enti del settore pubblico saranno in grado di prendere decisioni maggiormente basate su evidenze, in determinate situazioni di eccezionale necessità, attraverso misure per accedere a determinati dati detenuti dal settore privato.
Capo VI – Passaggio tra servizi di elaborazione dati – I fornitori di servizi cloud e edge computing devono soddisfare i requisiti minimi per facilitare l’interoperabilità e abilitare lo switching.
Capo VII – Accesso governativo e trasferimento internazionali di dati non personali – I dati non personali conservati nell’UE sono protetti contro richieste di accesso illegali da parte di governi stranieri.
Capo VIII – Interoperabilità – I partecipanti agli spazi dati devono soddisfare criteri per permettere ai dati di fluire all’interno e tra gli spazi dati. Un repository UE stabilirà standard e specifiche rilevanti per l’interoperabilità cloud.
Capo IX – Attuazione ed esecuzione della legge – Gli Stati membri devono designare una o più autorità competenti per monitorare e far rispettare la Legge sui dati. Inoltre, quando sono designate più autorità, deve essere nominato un ‘coordinatore dati‘ che funga da punto di contatto unico a livello nazionale.
È doveroso evidenziare che il Data Act ha una portata extraterritoriale e si applica a qualsiasi fornitore che offra servizi di elaborazione dati a clienti all’interno dell’UE, o che offra prodotti sul mercato UE, indipendentemente da dove si trovi il fornitore stesso. Ovvero: anche le aziende non UE in ambito dovranno conformarsi.
Condivisione IoT nel Data Act: diritti di accesso e portabilità
Come definito nel Capo II, gli utenti di oggetti IoT possono accedere, utilizzare e trasferire i dati generati dai prodotti o servizi connessi. Ne consegue che i fornitori devono renderli disponibili gratuitamente e in formati leggibili dalle macchine.
Sono inclusi dati grezzi o minimamente elaborati; mentre restano esclusi i dati inferiti o arricchiti (come le previsioni dell’IA) che i fornitori possono comunque offrire come servizio a pagamento.
Progettazione dei prodotti connessi e scadenze di conformità
Dal 12 settembre 2026, tutti i nuovi prodotti e servizi connessi immessi sul mercato UE devono essere progettati per assicurare accesso diretto, sicuro e strutturato ai dati.
Nel settore industriale, il Data Act oltre i dati grezzi
Nel settore industriale, quasi tutti i macchinari trasmettono dati operativi al produttore. Fino ad ora, l’accesso da parte degli utilizzatori era complesso, spesso vincolato a ecosistemi proprietari o a integrazioni costose e non allineate alle reali necessità aziendali.
Il Data Act cambia radicalmente questo scenario: le aziende, garantendo l’accessibilità ai dati generati da macchina, possono combinarli, analizzarli e integrarli su più sistemi, abilitando sia una visibilità end-to-end sia decisioni rapide e processi ottimizzati.
Inoltre, quando i dati grezzi sono disponibili senza ostacoli tecnici o contrattuali, diventa più semplice costruire architetture moderne, sviluppare servizi digitali avanzati, oltre a trasformare i dati in insight immediatamente utilizzabili.
Opportunità, guardrail e contratti tra utenti e fornitori
Le opportunità del Data Act
Il Data Act apre a un modello aperto di scambio dei dati industriali in grado di stimolare l’innovazione e la competitività; mentre i fornitori sono incoraggiati a creare valore tramite servizi e non attraverso il controllo esclusivo dei dati.
Di fatto, il Data Act, pur non imponendo requisiti specifici di latenza, rende fondamentale stabilire contrattualmente tempi e modalità di consegna dei dati, così da supportare casi d’uso, quali: manutenzione predittiva, ottimizzazione dei processi e analisi avanzate.
Inoltre, i contratti di approvvigionamento dovrebbero garantire esplicitamente l’accesso ai dati operativi minimi necessari per un monitoraggio e un’ottimizzazione efficaci.
Tale principio è rafforzato dal Capo II, Articolo 3 del Data Act che impone che tutti i prodotti collegati ed i servizi correlati – messi sul mercato UE dopo il 12 settembre 2026 – debbano essere progettati per garantire che tali dati ed i relativi metadati siano sicuri e liberamente accessibili agli utenti in un formato strutturato e leggibile da macchina.
Ancora, i fornitori di macchinari e servizi non possono utilizzare i dati per costruire o migliorare un prodotto o servizio concorrente, a meno che il fornitore originale non dia il consenso. Tali guardrail sono progettati per costruire fiducia e garantiscono che gli utenti possano beneficiare della condivisione dei dati con terze parti, evitando concorrenza sleale o abusi.
I produttori avranno tempo fino a settembre 2026 per adeguare i dispositivi immessi sul mercato prima del 2025. Per tutti i nuovi prodotti connessi, invece, l’obbligo di conformità al Data Act è scattato a partire dal 12 settembre 2025.
Prepararsi al Data Act: checklist di conformità per aziende e cloud
Consigli pratici per prepararsi alla conformità al Data Act
Adattarsi al Data Act richiede tempo e un coordinamento organizzativo, oltre che investimenti e una pianificazione strategica chiara. Di seguito alcuni passaggi pratici da seguire:
Inventario e classificazione dei dati generati
Mappare i flussi di dati – Iniziare con un inventario approfondito dei dati che i prodotti e servizi generano e raccolgono attualmente, oltre a identificare dove sono conservati, chi ha accesso ad essi, verificando altresì se si tratta di dati personali o non personali.
Di fatto, è necessario distinguere tra dati che rientrano nel mandato di condivisione del Data Act (essenzialmente, dati grezzi o di utilizzo minimamente elaborati) e altre informazioni che potrebbero essere considerate derivate o fuori ambito o quando il GDPR negherebbe la condivisione/accesso.
È importante avere una mappa chiara dei dati per determinare esattamente cosa l’azienda deve rendere disponibile e cosa no, una volta che la legge si applica.
Access by design e adeguamenti tecnici
Valutare il design del prodotto e i sistemi IT (integrato nel “access by design”) – Si deve controllare se i prodotti ed i servizi digitali esistenti supportino l’accesso diretto e sicuro dei dati.
Potrebbe essere necessario dover aggiornare firmware, interfacce software o sistemi back-end per abilitare un’esportazione o un’API di dati sicura a cui gli utenti possono accedere.
Inoltre, è necessario assicurarsi che i dati possano essere forniti in tempo reale e in un formato standard che utenti o servizi terzi possano utilizzare facilmente.
Contratti, termini e clausole
Rivedere contratti e termini di servizio – È necessario passare al vaglio contratti con clienti, licenze e termini di servizio per individuare eventuali clausole che limitano l’accesso o la condivisione dei dati: secondo il Data Act, molte di queste disposizioni sono, infatti, inapplicabili e, in alcuni casi, illegali e, pertanto, devono essere rimosse o modificate.
Segreti commerciali e misure di tutela
Sviluppare una strategia per proteggere i segreti commerciali – Il Data Act consente di adottare misure per salvaguardare la riservatezza e i segreti commerciali quali, ad esempio: accordi di non divulgazione quando si condividono dati con terzi; definizione dell’ambito d’uso (la legge già impone limiti che possono essere rafforzati mediante clausole contrattuali); accesso solo tramite canali sicuri e controllati (come un’API o un portale sicuro con MFA e crittografia).
In casi estremi, se si crede che condividere un particolare dataset esponga, inevitabilmente, un segreto commerciale fondamentale, la legge consente di rifiutare la divulgazione, ma solo se nessuna garanzia potrebbe realisticamente prevenire il danno.
Anche in quel caso, è necessario giustificare questo rifiuto ai regolatori. In definitiva, bisogna essere proattivi: capire come poter soddisfare le richieste di condivisione dati in modo da non rivelare la proprietà intellettuale o i segreti industriali, oltre a documentare queste decisioni e protocolli.
Trasparenza e gestione delle richieste clienti
Preparare le comunicazioni con i clienti – Il Data Act impone trasparenza fin dalla fase di vendita o dalla firma del contratto: i clienti devono essere informati su quali dati vengono generati, in che formato sono disponibili e come possono accedervi.
Ciò richiede comunicazioni chiare (manuali, schede prodotto, FAQ), team commerciali e di assistenza formati sui nuovi diritti degli utenti e l’attivazione di procedure e portali dedicati per gestire le richieste di accesso e condivisione dei dati.
Cloud switching e interoperabilità
Evitare il lock-in dei servizi cloud o software – I fornitori di servizi di elaborazione dati (i.e. cloud hosting, piattaforma SaaS, ecc.) devono verificare i termini del servizio e la configurazione tecnica per individuare barriere alla portabilità dei clienti.
I contratti a lungo termine con lock-in rigidi, alte penalità di risoluzione o formati dati proprietari che rendono difficile l’esportazione, dovranno essere tutti ripensati.
Pertanto, è necessario implementare o rafforzare strumenti di esportazione dei dati che consentano ai clienti di recuperarli in formati standard. I costi di cambio fornitore dovranno essere limitati ai soli oneri reali della transizione, considerando che dal gennaio 2027 lo switching dovrà essere gratuito.
Ancora, è consigliabile rendere i sistemi più interoperabili, adottando standard industriali o API per lo scambio dei dati. Rendere semplice l’uscita dei clienti può sembrare controintuitivo, ma è ormai una necessità legale e, se ben gestita, può trasformarsi in un vantaggio competitivo.
Impatto sull’industria europea e prospettive di lungo periodo
Come il Data Act influenzerà l’industria europea
Il Data Act è destinato ad avere un impatto di lungo periodo sull’industria europea, considerando che:
Favorirà un modello di governance dei dati più interoperabile.
Ridurrà le asimmetrie informative tra produttori e utilizzatori.
Abiliterà analisi avanzate in tempo reale.
Inoltre, la possibilità di integrare i dati provenienti da macchine di diversi fornitori accelererà l’innovazione, la competitività e la nascita di ecosistemi economici condivisi.
Ancora, nel lungo termine, la disponibilità di dati industriali interoperabili potrà generare una trasformazione sistemica, abilitando supply chain più resilienti, modelli di business basati sui dati e piattaforme industriali condivise in grado di rafforzare il posizionamento dell’UE nell’economia globale del dato.
Conclusione e prossimi passi operativi
Conclusione
Il Data Act segna un cambio di paradigma nella governance dei dati industriali: il controllo esclusivo lascia spazio a diritti chiari e tutelati di accesso, di utilizzo e di condivisione in capo agli utenti.
Per le imprese ciò significa adeguare prodotti, contratti e processi, ma anche cogliere un’opportunità strategica: trasformare la conformità normativa in un vantaggio competitivo.
Il fattore tempo è decisivo. Pertanto, mappare i flussi informativi, adeguare sistemi e i processi e preparare i team interni è quanto mai essenziale, non solo per evitare sanzioni, ma anche per cogliere le opportunità dell’economia europea dei dati.
