Il Regolamento (UE) 2023/2854 (“Data Act”) si colloca nel punto di intersezione – oggi decisivo – tra politica industriale europea, governance dei dati e disciplina della concorrenza nel mercato digitale.
Indice degli argomenti
Perché il Data Act cambia il potere economico dei dati
L’obiettivo dichiarato è ormai noto: sbloccare la valorizzazione economica dei dati, soprattutto quelli generati da prodotti connessi e servizi correlati, superando le asimmetrie informative e contrattuali che, finora, hanno favorito la concentrazione del controllo dei dati presso pochi operatori, con effetti di “chiusura” (silos), scarsa interoperabilità e potenziale sfruttamento di posizioni di forza negoziale.
In questa prospettiva, l’applicazione dal 12 settembre 2025 segna un passaggio non solo regolatorio, ma anche “istituzionale”: il dato non è più soltanto un semplice output tecnico, bensì un oggetto giuridico ed economico attorno al quale si ridefiniscono poteri, responsabilità e rendite informative.
È proprio qui che emerge la tensione strutturale che il presente contributo intende mettere a fuoco.
Quando Data Act e segreti commerciali entrano in tensione
Cosa succede quando la spinta alla circolazione dei dati – funzionale a innovazione, contendibilità e competitività – incontra un bene giuridico di pari rango per l’impresa: la tutela del patrimonio informativo riservato e, in particolare, dei segreti commerciali?
Il Data Act, coerentemente, non si limita a prescrivere obblighi di condivisione, ma costruisce un meccanismo di bilanciamento, volto a evitare che l’accesso ai dati si traduca in un trasferimento indiretto e non governato di know-how, strategie industriali o asset informativi idonei a produrre vantaggio competitivo.
Il punto non è solo “giuridico”, ma squisitamente industriale: se i dati circolano senza adeguati presìdi, il rischio è che la condivisione si trasformi in un trasferimento non intenzionale di know-how, strategie di prodotto, logiche di ottimizzazione e insight competitivi.
In termini operativi, il punto è chiaro: massimizzare la data mobility senza trasformarla in una forma surrettizia di espropriazione del capitale intangibile.
Oggetto e perimetro: quali dati copre il Data Act e per chi
Il Data Act adotta una definizione ampia di “dati” come rappresentazione digitale di atti, fatti o informazioni, includendo tanto dati personali quanto non personali, nonché i relativi metadati. Il baricentro è costituito dai dati generati dall’uso di prodotti connessi (si pensi a veicoli intelligenti o macchinari industriali) e dei servizi correlati, nella misura in cui tali dati risultino “prontamente disponibili” per il data holder, ossia accessibili senza sforzi sproporzionati.
Restano invece esclusi i dati “desunti o derivati”, frutto di un arricchimento significativo da parte del titolare: esclusione che segnala una scelta regolatoria precisa, perché tenta di preservare – almeno in parte – l’area dell’elaborazione ad alto valore aggiunto.
Questa architettura, tuttavia, è al tempo stesso un punto di forza e una potenziale criticità: da un lato, tutela l’area dell’elaborazione ad alto valore aggiunto; dall’altro, rischia di alimentare contenziosi interpretativi su dove finisca il dato “grezzo” e dove inizi il dato “arricchito”, soprattutto nei settori in cui la catena di trasformazione è continua e non interpretabile in modo netto.
Dati personali: il coordinamento con GDPR e la compliance multilivello
Sotto il profilo dei dati personali, il Regolamento opera invece in chiave complementare e, nel dichiarare la non interferenza con il GDPR, conferma l’impostazione multilivello della protezione: l’apertura dei flussi informativi non può comprimere lo statuto dei diritti dell’interessato, né degradare garanzie come trasparenza, base giuridica e minimizzazione a meri costi di compliance.
In altri termini, la circolazione dei dati resta giuridicamente “condizionata”, e tale condizionamento è parte integrante dell’architettura del mercato dei dati.
Anche in questo caso si tratta di una scelta coerente, ma non priva di attriti applicativi: nella prassi, l’impresa dovrà orchestrare basi giuridiche, trasparenza e minimizzazione con i nuovi diritti di accesso e condivisione. Il punto di forza è, quindi, la chiarezza di principio; ma la criticità è l’aumento della complessità di compliance, perché la “mappa” dei flussi dati diventa contemporaneamente un oggetto di governance tecnica, contrattuale e privacy.
Quanto ai doveri dei data holders (fabbricanti, venditori, fornitori di servizi), il Data Act disegna un set di obblighi che incidono contemporaneamente su progettazione, trasparenza precontrattuale e dinamiche di condivisione. Da un lato, la disponibilità dei dati non è rimessa alla benevolenza dell’operatore, ma si innesta già nella fase di design del prodotto e del servizio, imponendo che i dati – inclusi i metadati – siano accessibili all’utente in modo semplice, sicuro, gratuito e in formato strutturato e leggibile da dispositivo automatico.
Dall’altro lato, la scelta informata dell’utente è presidiata da obblighi informativi precontrattuali sulla natura dei dati generati, sul loro volume e sulle modalità di accesso e condivisione.
Peraltro, il Data Act (art. 4.6) prevede che la stessa identificazione della segretezza possa passare attraverso i metadati, così da rendere visibile tale “qualifica” ai sistemi automatizzati che dovessero stoccare o processare le informazioni.
Infine, viene rafforzato il diritto dell’utente di ottenere la condivisione verso terzi designati, a condizioni eque, ragionevoli e non discriminatorie, con l’ulteriore presidio dell’esclusione dei gatekeeper come destinatari, a conferma di una sensibilità antitrust-oriented del legislatore europeo.
Segreti commerciali: nozione, requisiti e “onere di realtà” della riservatezza
Il nodo più delicato – e, per molti operatori, più “materiale” – è quello dei dati che incorporano o rivelano segreti commerciali. Il Data Act non riscrive la disciplina dei trade secrets, ma la presuppone e la integra, richiamando, in controluce, la Direttiva (UE) 2016/943 e il relativo recepimento negli artt. 98 e 99 del Codice della Proprietà Industriale avvenuto con D. Lgs. n. 63/2018.
In questa cornice, l’informazione aziendale è protetta come segreto commerciale solo se sussistono cumulativamente segretezza, valore economico in quanto segreta e adozione di misure ragionevolmente adeguate a mantenerla tale.
La definizione è oggi molto ampia e, pur non menzionando i dati in sé – se non quelli relativi “a prove o altri dati segreti” la cui elaborazione comporti un “considerevole impegno” ed alla cui presentazione sia subordinata l’autorizzazione dell’immissione in commercio di talune categorie di prodotti – devono ritenersi inclusi nelle più vaste categorie di “informazioni aziendali” e di “esperienze tecnico-industriali”, comprese quelle commerciali, purché soggette al legittimo controllo del detentore.
La giurisprudenza in materia è significativa perché ribadisce un punto di metodo: non basta affermare che un certo dato appartiene al know-how o al patrimonio confidenziale dell’impresa; occorre una dimostrazione motivata e comprovata dei requisiti di legge. E, soprattutto, non ogni informazione aziendale è segreto commerciale per definizione.
Un elenco clienti ridotto a meri dati identificativi, ad esempio, può essere ritenuto insufficiente; viceversa, un database arricchito con condizioni economiche, contratti, scadenze e altri elementi “qualificanti” può integrare il requisito del vantaggio concorrenziale e dunque della proteggibilità.
In termini di risk management, questa distinzione è tutt’altro che teorica: definisce la linea di confine tra ciò che può essere legittimamente condiviso e ciò che, se divulgato, altera l’equilibrio competitivo.
Vero è, d’altra parte, che la giurisprudenza italiana offre anche una tutela alle informazioni “meno riservate”, ossia a quelle informazioni che non presentano cumulativamente i requisiti previsti dall’art. 98 CPI, ma hanno pur sempre l’attitudine a fornire un vantaggio competitivo a chi le possiede.
In quest’ottica, soccorre la normativa sulla concorrenza sleale che, da sussidiaria rispetto alle previsioni del Codice della Proprietà Industriale, ne diviene in questo campo assolutamente sinergica.
Ma la gestione del rischio e il ruolo delle policy interne non si fermano qui: la compliance in materia di cybersecurity aiuta – e aiuterà sempre di più – anche a difendere i segreti industriali.
Va infatti ricordato che l’informazione è protetta come segreto solo se è sottoposta a misure “ragionevolmente adeguate” a mantenerla tale e, certamente, l’adozione di quelle previste in tema di cybersecurity potrebbe rappresentare un ottimo indice in tal senso.
Tutto ciò vale sia nella fase “fisiologica”, quindi di gestione e prevenzione dei rischi, sia in quella “patologica”, dove l’onere di provare l’adozione di misure di sicurezza diventa determinante per ottenere tutela giudiziaria dei propri segreti.
Ancora una volta, quindi, le normative europee convergono e “fanno rete” tra loro, come già si verifica a proposito del nuovo Regolamento Macchine di recente entrata in vigore.
Il meccanismo di bilanciamento nel Data Act: il “trade secrets handbrake” come procedura, non come scudo
La scelta regolatoria del Data Act è netta: riconoscere la necessità di tutelare i segreti commerciali, ma impedire che la loro evocazione diventi un argomento bloccante capace di svuotare dall’interno il diritto di accesso.
Per questo il Regolamento introduce un meccanismo procedurale che, in sostanza, trasforma la tutela del segreto in un percorso governato e verificabile. La qualifica unilaterale di un dato come segreto commerciale, da sola, non è idonea a paralizzare la condivisione.
In concreto, a fronte di una richiesta di accesso, il data holder è chiamato innanzitutto a identificare in modo specifico i dati che ritiene rientrare nell’area del segreto commerciale.
Segue una fase di “negoziazione protettiva”, in cui il data holder e l’utente (o il terzo destinatario) devono concordare misure adeguate di riservatezza: accordi di non divulgazione, clausole contrattuali, protocolli tecnici di accesso, adesione a codici di condotta.
In questa logica di standardizzazione e riduzione dei costi transattivi, la Commissione ha predisposto clausole contrattuali tipo non vincolanti, con funzione abilitante: fornire una base negoziale pronta all’uso, minimizzando attriti e ambiguità.
Il “freno” (handbrake) diventa attivabile solo in condizioni tipizzate. Se non si raggiunge l’accordo sulle misure, oppure se tali misure non sono rispettate o si rivelano insufficienti, il data holder può sospendere o rifiutare la condivisione, ma deve notificare la decisione all’autorità nazionale competente, esplicitandone le ragioni.
L’architettura è trasparente: la tutela del segreto non è affidata a una mera autodichiarazione, bensì è tracciata, motivata e, potenzialmente, sindacabile.
Ancora più rigoroso è il perimetro dell’ipotesi “eccezionale”, in cui il data holder può negare l’accesso persino in presenza di misure di riservatezza, ma soltanto se dimostra, sulla base di elementi oggettivi, che la divulgazione comporterebbe con alta probabilità un danno economico grave e irreparabile.
Anche qui, la logica è quella dell’accountability: prova scritta, notifica all’autorità, permanenza dei rimedi per l’utente (giudiziali o alternativi).
In termini di governance, si tratta di un incentivo potente a “preparare” la difesa del segreto prima della crisi, e non dopo, quando ogni argomento rischia di apparire opportunistico.
Ricadute operative: dal bilanciamento giuridico alla governance del dato come asset aziendale
Se il Data Act ridisegna i confini del potere informativo, la risposta dell’impresa non può essere meramente documentale.
Occorre, anzitutto, una mappatura accurata dei dati generati dai prodotti connessi e dai servizi correlati, distinguendo ciò che è condivisibile per natura e ciò che, per contenuto e contesto, può assumere la qualità di segreto commerciale.
Questa attività richiede anche un allineamento interno: policy, sensibilizzazione del personale e – soprattutto – una classificazione difendibile in caso di contestazione.
In ottica manageriale, significa trasformare la riservatezza da concetto astratto a processo, con owner, controlli, evidenze e misure anche di natura tecnica e organizzativa.
Sul piano contrattuale, l’adeguamento delle condizioni generali e degli accordi con utenti e terzi diventa un passaggio obbligato. Non tanto per “mettere una clausola in più”, quanto per costruire una disciplina coerente dell’accesso e della condivisione, integrando misure di riservatezza che rendano praticabile, quando necessario, l’attivazione del trade secrets handbrake nei casi consentiti dal Regolamento.
In altri termini, la contrattualistica non deve inseguire la compliance: deve anticiparla, riducendo frizioni operative e preservando – per quanto possibile – il valore economico dell’informazione.
È il classico tema di execution: senza un impianto contrattuale e tecnico adeguato, il bilanciamento resta sulla carta e l’impresa si ritrova a negoziare sotto pressione.
Peraltro, lo stesso approccio era stato adottato dalla Direttiva Trade Secrets del 2016 a proposito dell’ingegneria inversa dei prodotti: le informazioni segrete possono essere acquisite in modo indipendente dal terzo tramite reverse engineering di prodotti che le incorporano, purché questa attività non sia vietata contrattualmente.
Spetta quindi all’impresa titolare dei segreti premunirsi di idonee cautele contrattuali onde evitare che la protezione “interna” delle proprie informazioni riservate venga vanificata da mancate cautele connesse alla circolazione “esterna” di prodotti decompilabili.
Conclusioni: il segreto commerciale resta un asset, cambia la gestione
In conclusione, il Data Act non indebolisce la tutela dei segreti commerciali: la ricolloca all’interno di un sistema in cui la condivisione dei dati è promossa come leva di innovazione e competitività.
Ne deriva una trasformazione del paradigma: la protezione del segreto non è più (solo) un diritto statico da opporre, ma un presidio dinamico da gestire, dimostrare e rendere compatibile con obblighi di accesso e portabilità.
La sfida, per le imprese, consiste nel dotarsi di una governance dei dati capace di coniugare apertura e protezione: non per “subire” la regolazione, ma per convertirla in un vantaggio strategico, dove la compliance diventa una funzione di business continuity e di posizionamento competitivo nell’economia dei dati.
In sintesi: il segreto commerciale resta un asset; cambia, però, il modo in cui va amministrato, difeso e – quando serve – negoziato.
