Dal 15 settembre 2025, è applicabile il Data Act, cioè il Regolamento (UE) 2023/2854, in vigore dall’11 gennaio 2024, contenente norme armonizzate sull’accesso equo ai dati e sul loro utilizzo.
Indice degli argomenti
Data Act: quadro generale e tempi di applicazione
Il Data Act è uno dei tasselli centrali della strategia europea per i dati: completa il Data Governance Act, che punta a creare fiducia nei meccanismi di condivisione volontaria, introducendo regole orizzontali e vincolanti su chi può accedere ai dati, a quali condizioni e con quali limiti. Insieme, le due norme mirano a costruire un mercato unico dei dati in cui le informazioni possano circolare fra settori, Stati membri e servizi cloud, senza dipendenze eccessive da pochi fornitori e senza sacrificare la tutela della riservatezza o dei segreti industriali.
Dal punto di vista temporale, il Regolamento è entrato formalmente in vigore l’11 gennaio 2024, ma la gran parte delle disposizioni è applicabile dal 12 settembre 2025; alcune regole di “design by default” per i prodotti connessi scatteranno in una seconda fase, a partire da settembre 2026, per dare tempo agli operatori di adeguare progettazione hardware, software e condizioni contrattuali. In pratica, il Data Act accompagna il passaggio dell’economia europea verso modelli industriali basati su IoT, cloud e intelligenza artificiale, mettendo ordine in flussi di dati che finora erano governati soprattutto da contratti bilaterali e asimmetrici.
Cos’è il Data Act
Il Data Act ha definito i diritti di accesso ai dati (personali e non personali) generati dall’uso di prodotti connessi o servizi correlati e le condizioni per il loro uso e per la loro condivisione. Il Data Act inoltre, ha reso possibile a consumatori e imprese che usano tecnologie IoT di: a) controllare i dati che generano b) utilizzarli a proprio vantaggio per i più svariati obiettivi.
Noi ci focalizzeremo su come l’esercizio di questi diritti può agevolare imprese intenzionate a cogliere i vantaggi della data economy, permettendo loro di risolvere problemi, abbattere i costi, effettuare controlli sui macchinari per avere incentivi fiscali, fare marketing, ecc.
In aggiunta, il Data Act ha provveduto a riordinare e a riformare un ambito di notevole interesse concreto per una platea vastissima di imprese (B2B) e di utenti privati (B2C): i servizi di trattamento dati. L’ha fatto in modo da agevolare il passaggio da un fornitore all’altro e da migliorare l’interoperabilità dei dati e dei meccanismi e servizi di condivisione dei dati.
Autorità competenti e sanzioni
Secondo lo schema classico delle normative europee, anche il Data Act prevede che ogni Stato membro debba istituire una o più autorità competenti, investite del compito di garantire che le violazioni degli obblighi del Regolamento siano oggetto di sanzioni efficaci, proporzionate e dissuasive: sanzioni pecuniarie, avvertimenti, ammonimenti o ordini di conformare le pratiche commerciali agli obblighi imposti del Data Act. Tocca agli Stati membri, all’atto dell’istituzione delle autorità competenti, attribuire ad esse compiti chiaramente definiti, compresi poteri di controllo e poteri sanzionatori. Gli Stati membri avevano tempo fino al 12 settembre 2025 per istituire l’Autorità competente e per definire le norme relative alle sanzioni e per notificarle alla Commissione UE. L’Italia non ha ancora fatto nessuna delle due cose; pertanto, è passibile di procedura d’infrazione.
Angolo visuale seguito in questa Guida
I dati ottenuti, generati o acquisiti dai prodotti connessi possono essere sia dati personali sia dati diversi da quelli personali. Il Data Act contiene vari rinvii al GDPR. Ai sensi dell’art. 37.3, le autorità di controllo incaricate di sorvegliare l’applicazione del GDPR sono incaricate di sorvegliare l’applicazione del Data Act per quanto riguarda la protezione dei dati personali. Complessivamente, per i dati personali, il Data Act si tiene un passo indietro rispetto al GDPR, dichiarando la prevalenza di quest’ultimo. Naturalmente, si delineano importanti ambiti di interazione e sovrapposizione fra le due discipline. Tuttavia, in questa Guida, ci concentreremo sullo “specifico” del Data Act, sia sul fronte dell’accesso ai dati generati da prodotti connessi e servizi correlati che su quello dei servizi di trattamento dati.
Data Act nel mosaico della legislazione europea sui dati
Per capire la portata del Data Act, è utile collocarlo nel mosaico delle altre norme europee sui dati e sui servizi digitali. Il Regolamento non nasce nel vuoto, ma dialoga con almeno quattro grandi pilastri del diritto UE: il GDPR per i dati personali, il Data Governance Act per i meccanismi di condivisione volontaria e gli intermediari di dati, il Digital Markets Act per il controllo del potere di mercato delle Big Tech e il regolamento sulla libera circolazione dei dati non personali. A questi si aggiungono, in prospettiva, l’AI Act e le norme settoriali sui dati veicolari, energetici, sanitari.
La logica è la seguente: il GDPR continua a dettare le regole su base giuridica, consenso, diritti degli interessati e trasferimenti internazionali dei dati personali; il Data Governance Act introduce figure come gli intermediari di dati neutrali e i data altruism organizations; il Digital Markets Act limita la capacità dei gatekeeper di usare il proprio potere sui dati per chiudere il mercato. Il Data Act, su questa base, definisce in modo trasversale chi può ottenere l’accesso a dati generati da prodotti connessi o servizi correlati, in quali condizioni i dati possono essere condivisi con terzi, quali clausole contrattuali sono ammissibili e quanto dev’essere semplice, tecnicamente e contrattualmente, cambiare fornitore di servizi di trattamento dati.
Per le imprese, questo significa che ogni progetto data-driven dovrà essere valutato guardando insieme il pacchetto regolatorio: privacy, concorrenza, portabilità, governance e sicurezza dei dati non sono più capitoli separati, ma dimensioni di un unico quadro di compliance.
I soggetti Data Act: utente, titolare dei dati, eventuale destinatario dei dati
L’art. 1 del Data Act indica come oggetto del Regolamento 2023/2854, tra l’altro, «la messa a disposizione dei dati del prodotto connesso e di un servizio correlato all’utente del prodotto connesso o del servizio correlato» e «la messa a disposizione di dati da parte dei titolari dei dati ai destinatari dei dati».
L’art. 2 del Data Act definisce l’utente come «una persona fisica o giuridica che possiede un prodotto connesso o a cui sono stati trasferiti contrattualmente diritti temporanei di utilizzo di tale prodotto connesso o che riceve un servizio correlato». È utente, dunque, anche un’impresa. È titolare dei dati «una persona fisica o giuridica che ha il diritto o l’obbligo […] di utilizzare e mettere a disposizione dati, compresi, se concordato contrattualmente, dati del prodotto o di un servizio correlato che ha reperito o generato nel corso della fornitura di un servizio correlato». Può essere il titolare dei dati, dunque, anche il produttore di un macchinario automatizzato intelligente. Infine, il destinatario dei dati è «una persona fisica o giuridica, che agisce per fini connessi alla sua attività commerciale, imprenditoriale, artigianale o professionale, diversa dall’utente di un prodotto connesso o di un servizio correlato, a disposizione della quale il titolare dei dati mette i dati, e che può essere un terzo in seguito a una richiesta da parte dell’utente al titolare dei dati o conformemente a un obbligo giuridico […]». sempre nel contesto B2B, può essere tale un consulente di fiducia dell’utente/impresa designato come terzo cui rilasciare i dati dall’utente stesso, o un soggetto che agisce per fini propri, disposto a pagare per i dati.
Ambito territoriale di applicazione del Data Act
Il Data Act introduce doveri a carico dei fabbricanti di prodotti connessi immessi sul mercato dell’Unione Europea e ai fornitori di servizi correlati, nonché dei titolari dei dati, indipendentemente dal loro luogo di stabilimento (art. 1.3). Dunque, sul fronte degli obblighi, il Data Act vale per chiunque operi sul mercato europeo, sia esso stabilito nell’Unione o meno. Viceversa, il medesimo articolo prevede diritti solo per gli utenti nell’Unione, e autorizza la messa a disposizione dei dati solo nei confronti di destinatari nell’Unione. Se ne deduce che il Data Act è pensato per agevolare utenti europei, eventualmente supportati da destinatari europei, nei confronti di titolari dei dati sia europei che non europei. Anzi, è una normativa che sceglie di usare due pesi e due misure: un’impresa europea ha il diritto di chiedere dati a un’impresa non europea i cui prodotti connessi sono immessi nel nostro mercato; viceversa, un’impresa europea operante su altri mercati (ad esempio, USA) non è tenuta a fare altrettanto verso utenti di altri mercati (es. statunitensi).
Data Act: prodotti connessi e servizi correlati
I prodotti connessi fanno parte della rete dell’Internet of Things (IoT). Le tecnologie IoT sono estremamente utili all’industria. Infatti, permettono di prevedere le necessità di manutenzione di macchinari, di monitorare in tempo reale i processi produttivi e i consumi energetici, di tracciare la posizione e le condizioni di prodotti, di assicurare una maggiore trasparenza in merito all’origine dei prodotti, alla provenienza dei componenti o dei materiali utilizzati e ai metodi di produzione adottati, ecc. L’Unione Europea ha ritenuto maturi i tempi per trasformare i dati raccolti nell’IoT in qualcosa di utile a chi li genera e per aiutare gli utenti dei prodotti connessi e dei servizi ad essi correlati ad accedere ai “propri” dati, mediante un quadro armonizzato volto a specificare «chi ha il diritto di utilizzare i dati di un prodotto o di un servizio correlato, a quali condizioni e su quale base» (considerando 4 del Data Act).
La necessità di alfabetizzazione sui dati e il ruolo dei giuristi d’impresa
Per fare in modo che le imprese capiscano l’importanza dei dati e imparino a ricavarne valore, il Data Act affida – all’art. 37.5, lett. a) – agli Stati membri la promozione dell’alfabetizzazione in materia di dati, intesa come l’insieme delle competenze, delle conoscenze e della comprensione che consentono agli utenti (incluse le imprese, in particolare le PMI) di acquisire consapevolezza in merito al valore potenziale dei dati da essi generati, prodotti e condivisi (considerando 19). Quest’opera di sensibilizzazione sarà utile. Tuttavia, per fare in modo che il Data Act sia sfruttato dalle imprese che hanno investito nelle tecnologie avanzate, bisognerà che ci siano legali capaci da un lato di rivedere (tenendo conto della progettazione e di aspetti tecnici) le condizioni di servizio di coloro che creano, vendono e manutengono soluzioni IoT, dall’altro di assistere le imprese utenti di soluzioni IoT nella valutazione dei contratti loro proposti e nell’accesso ai dati.
PMI e settori industriali: dove il Data Act può fare davvero la differenza
Sebbene molte disposizioni del Data Act prevedano esenzioni o gradienti di applicazione per le micro e piccole imprese, il Regolamento è destinato a incidere profondamente anche sul tessuto delle PMI manifatturiere e dei servizi avanzati. Nei settori in cui l’adozione di tecnologie IoT, robotica e cloud è spinta dagli incentivi fiscali e dai piani di trasformazione digitale – si pensi alla Transizione 5.0 in Italia – la capacità di ottenere, aggregare e riutilizzare i dati generati dai macchinari può diventare un fattore competitivo tanto importante quanto l’investimento iniziale in hardware e software.
Per una PMI che acquista un impianto connesso, il Data Act offre due tipi di leva. Da un lato, consente di pretendere dai fornitori informazioni chiare e verificabili su quali dati sono generati, dove sono conservati, per quanto tempo, con quali interfacce di accesso e con quali limiti alla condivisione con terzi. Dall’altro, permette di costruire, anche con l’aiuto di consulenti e intermediari di dati, flussi informativi utili a migliorare la manutenzione, l’efficienza energetica, la pianificazione della produzione o persino il modello di business (per esempio, introducendo servizi post-vendita basati sui dati di utilizzo effettivo dei prodotti).
In questo senso, il Data Act non è solo un adempimento, ma una sorta di “cintura di sicurezza contrattuale” che riduce i rischi di lock-in tecnologico e aumenta il potere negoziale delle imprese medio-piccole nei confronti di vendor globali di IoT e cloud. La sfida sarà trasformare questi diritti in pratica, dotando le PMI delle competenze legali, tecniche e organizzative necessarie per leggere le clausole, negoziare gli accordi e sfruttare a proprio vantaggio i dati che già oggi producono.
Dati accessibili nella casistica della Transizione 5.0
Nella casistica della Transizione 5.0. vengono in rilievo – in misura largamente prevalente – dati non personali. Possibili esempi: temperatura, umidità e integrità dell’imballaggio (nella gestione automatizzata del magazzino), origine dei prodotti, provenienza dei loro componenti e dei materiali utilizzati per la loro produzione (nel track and trace); dati relativi all’uso e alle condizioni dei mezzi di trasporto (nel fleet management), e così via.
Dati “prontamente disponibili”, edge computing e tecnologie di privacy enhancement
Le FAQ della Commissione, aggiornate a settembre 2025 (versione 1.3), intervengono su uno snodo cruciale del Data Act: che cosa si deve intendere, in concreto, per dati “prontamente disponibili” e come vanno trattati i casi in cui parte dell’elaborazione avviene in edge o in back-end.
La Commissione chiarisce che l’obbligo di messa a disposizione scatta quando il titolare dei dati ha un accesso effettivo e non puramente teorico ai dati generati dal prodotto connesso o dal servizio correlato. Se i dati restano integralmente nel dispositivo e non vengono memorizzati o trasmessi verso sistemi sotto il controllo del produttore o di un altro titolare, quei dati non rientrano, di regola, nel perimetro dell’accesso obbligatorio. Al contrario, ogni volta che esistono “mezzi ragionevoli” per ricollegare i dati a un utente o a un prodotto specifico, senza modifiche sostanziali del sistema e senza costi sproporzionati, quei dati continuano a essere considerati “prontamente disponibili” e quindi azionabili ai sensi del Data Act.
Questo approccio si intreccia con il tema delle tecnologie di miglioramento della privacy (PET): cifratura, pseudonimizzazione, tecniche di anonimizzazione o di calcolo distribuito non bastano, da sole, a far uscire i dati dal perimetro del Regolamento. La Commissione ricorda, infatti, che il Data Act non è subordinato al solo dato personale, ma si applica anche ai dati non personali, e che le scelte tecniche di protezione devono essere disegnate in modo da non svuotare di contenuto i diritti di accesso e portabilità riconosciuti agli utenti. Ne deriva che produttori e fornitori di servizi correlati dovranno progettare flussi e architetture tenendo insieme, fin dalla fase di design, tre dimensioni: privacy, sicurezza e accessibilità ai sensi del Data Act.
Coordinamento operativo tra Data Act e GDPR nei contesti multi-utenza
Un altro punto su cui le FAQ del 2025 insistono riguarda il coordinamento tra Data Act e GDPR, soprattutto nelle situazioni di multi-utenza tipiche dell’IoT industriale e dei servizi connessi: veicoli aziendali utilizzati da più driver, macchinari condivisi da più reparti, edifici intelligenti gestiti da proprietari, locatari e gestori di facility.
Quando l’utente che esercita i diritti di accesso e portabilità ai sensi del Data Act è anche “interessato” ai sensi del GDPR, la Commissione suggerisce una lettura convergente: la richiesta di dati può essere trattata come se fosse, al tempo stesso, una richiesta di accesso o portabilità ai sensi degli articoli 15 e 20 del GDPR. In questo caso il titolare dei dati dovrà rispettare i tempi, le modalità di risposta e le cautele previsti dalla disciplina privacy, senza bisogno di duplicare processi o canali.
La situazione è diversa quando l’utente non coincide con l’interessato: ad esempio, nel caso di un’impresa che chiede i dati generati dai propri dipendenti o da utilizzatori finali. In questi scenari il Data Act, da solo, non basta a legittimare la comunicazione di dati personali; serve una base giuridica autonoma ai sensi del GDPR, che può essere, a seconda dei casi, il legittimo interesse, l’esecuzione del contratto, un obbligo legale o – nelle ipotesi più delicate – il consenso degli interessati. Ciò implica che le imprese dovranno progettare le proprie informative e i propri registri dei trattamenti tenendo conto, già ex ante, della possibilità che i dati siano richiesti e condivisi lungo la filiera in forza del Data Act, evitando che l’esercizio di un nuovo diritto regolamentare si traduca in un pregiudizio per la protezione dei dati personali.
L’obbligo di rendere i dati accessibili su richiesta e, in prospettiva, di default
Il Capo II del Data Act prevede una serie di obblighi di messa a disposizione dei dati, validi anche per i rapporti B2B (fra impresa e impresa), ma non applicabili quando i prodotti connessi sono fabbricati o progettati (o i servizi correlati sono erogati): A) da una PMI (sempre che non si tratti di PMI collegata a imprese che non sono PMI); 2) da un’impresa qualificata come “media” da meno di un anno; 3) da una media impresa (anche se tale da più di un anno) per un anno dopo aver immesso sul mercato i prodotti connessi.
Secondo l’art. 3.1, i prodotti connessi andranno progettati e fabbricati (e i servizi correlati andranno progettati e forniti) «in modo tale che i dati dei prodotti e dei servizi correlati, compresi i pertinenti metadati necessari a interpretare e utilizzare tali dati, siano, per impostazione predefinita, accessibili all’utente in modo facile, sicuro, gratuito, in un formato completo, strutturato, di uso comune e leggibile da dispositivo automatico e, ove pertinente e tecnicamente possibile, in modo diretto». In base all’art. 50, questo obbligo varrà per i prodotti connessi e i servizi correlati immessi sul mercato dopo il 12 settembre 2026.
Dal 12 settembre 2025, prima di concludere un contratto di acquisto, locazione o noleggio di un prodotto connesso, il venditore, il locatore o il noleggiante (che può essere il fabbricante), deve indicare all’utente:
- tipo, il formato e il volume stimato di dati;
- se il prodotto è in grado di generare dati in modo continuo e in tempo reale;
- se il prodotto è in grado di archiviare dati sul dispositivo o su un server remoto; il modo in cui l’utente può accedere a tali dati, reperirli o cancellarli;
- la natura, il volume stimato e la frequenza di raccolta dei dati del prodotto;
- la natura e il volume stimato dei dati di un servizio correlato;
- se il potenziale titolare dei dati prevede di utilizzare esso stesso i dati prontamente disponibili e per quali finalità;
- l’identità del potenziale titolare dei dati;
- come contattare rapidamente il potenziale titolare dei dati;
- il modo in cui l’utente può chiedere che i dati siano condivisi con terzi;
- il diritto dell’utente di presentare un reclamo all’autorità competente;
- se un potenziale titolare dei dati è il detentore di segreti commerciali;
- la durata del contratto tra l’utente e il potenziale titolare dei dati, nonché le modalità per risolvere tale contratto.
Quando il prodotto non ha una funzionalità che permetta all’utente di accedere ai dati direttamente, il titolare (eventualmente, tramite il fabbricante del prodotto connesso a Internet o il fornitore del servizio correlato) deve mettere i dati a disposizione dell’utente i dati quando questi glieli chiede. Ciò va fatto prontamente, aggiungendo i pertinenti metadati necessari per interpretare e utilizzare tali dati, con la stessa qualità di cui dispone il titolare dei dati, in modo facile, sicuro, gratuitamente, in un formato completo, strutturato, di uso comune e leggibile da dispositivo automatico e, ove possibile, in modo continuo e in tempo reale.
Correttezza nell’uso dei dati dei prodotti connessi e dei servizi correlati
Il Data Act è attento a impedire usi distorti dei dati da parte dei vari soggetti. L’utente che chiede i dati non può, dopo averli ottenuti, usarli «per sviluppare un prodotto connesso in concorrenza con il prodotto connesso da cui provengono i dati», né tantomeno può condividerli con un terzo con tale intenzione; inoltre, non può utilizzare tali dati «per ottenere informazioni sulla situazione economica, sulle risorse e sui metodi di produzione del fabbricante o, se applicabile, del titolare dei dati» (art. 4.10). Infine, l’utente non deve mai utilizzare mezzi coercitivi né abusare di lacune nell’infrastruttura tecnica del titolare dei dati destinata a proteggere i dati al fine di ottenere l’accesso agli stessi (art. 4.11). A sua volta, «un titolare dei dati utilizza eventuali dati non personali prontamente disponibili solo sulla base di un contratto stipulato con l’utente. Un titolare dei dati non utilizza tali dati per ottenere informazioni sulla situazione economica, sulle risorse e sui metodi di produzione dell’utente, o sull’utilizzo da parte di quest’ultimo in qualsiasi altro modo che potrebbe compromettere la sua posizione commerciale sui mercati in cui l’utente è attivo» (art. 4.13), mentre «i titolari dei dati non mettono a disposizione di terzi i dati non personali del prodotto a fini commerciali o non commerciali diversi dall’esecuzione del loro contratto con l’utente. Se del caso, i titolari dei dati vincolano contrattualmente i terzi a non condividere ulteriormente i dati da essi ricevuti» (art. 4.14).
Il Data Act dal punto di vista delle imprese che usano prodotti connessi
Anzitutto, vediamo le possibili applicazioni del Data Act alle imprese che – puntando all’interconnessione e all’automazione dei processi di produzione industriale – scelgono prodotti connessi a Internet (“prodotti connessi”) e servizi correlati.
Immaginiamo un’impresa che si avvale di macchinari intelligenti, volti a sostituire o efficientare il lavoro umano, connessi e programmati per usi ripetitivi, che voglia fare manutenzione predittiva per evitare fermi macchina non pianificati. Il Data Act riconosce all’impresa il diritto di estrarre o di chiedere al fabbricante (o, a seconda dei modelli di distribuzione) al rivenditore dei macchinari o al fornitore di servizi correlati i dati generati dai macchinari ed esaminarli, o affidarli a suoi consulenti per capire quando intervenire con la manutenzione.
Il Data Act nel contesto della Transizione 5.0
Il Data Act cade in un contesto storico in cui l’Unione Europea e, per quel che ci riguarda, l’Italia, incentivano significativamente la digitalizzazione mediante la leva fiscale, incoraggiando le imprese a investire in tecnologie come l’IoT, la robotica avanzata, l’intelligenza artificiale, la stampa 3D e il cloud computing.
Già dal 2017 (con la cd. “Industria 4.0”), l’Italia offre il credito d’imposta fino al 20 % delle spese per l’acquisto di beni strumentali volti a innovare e a trasformare i processi. Con il Decreto-Legge del 2 marzo 2024, n. 19 (c.d. Decreto PNRR quater) convertito con modificazioni dalla L. 29 aprile 2024, n. 56, l’Italia ha dato il via al Piano Transizione 5.0, che mira a far procedere di pari passo la digitalizzazione e la sostenibilità ambientale. Infatti, non solo le tecnologie innovative migliorano i processi industriali, ma ne riducono l’impatto ambientale. Con la Transizione 5.0, il credito d’imposta per i progetti di innovazione (avviati dal 1° gennaio 2024 e completati entro il 31 dicembre 2025) mirati alla riduzione dei consumi energetici e che puntano a rendere i processi produttivi sempre più efficienti e sostenibili, è stato aumentato fino al 45%.
Per quel che riguarda l’Italia, l’entrata in vigore e l’operatività del Data Act cadono in un biennio (il 2024-2025) in cui un rilevante numero di imprese, stimolato dal Piano Transizione 5.0, sceglie o sceglierà di investire in quel tipo di beni strumentali per i quali i diritti introdotti dal Data Act possono rivelarsi assai utili.
Iter di richiesta dei dati
Sulla falsariga del GDPR, l’art. 4 del Data Act prevede l’iter di richiesta, gli accorgimenti che il titolare può usare per essere certo di rilasciare i dati a chi ne ha titolo, i rimedi in caso di inadempienza del titolare.
L’utente può decidere di condividere i dati con un terzo destinatario. Nulla vieta a un’impresa, dopo aver chiesto e ottenuto i dati di un prodotto connesso o di un servizio correlato, di condividerli con un consulente di sua fiducia che possa aiutarla a leggerli e interpretarli.
In alternativa, l’utente può chiedere al titolare dei dati di mettere i dati direttamente a disposizione di un terzo destinatario. Eventualmente, può essere il terzo stesso, autorizzato dall’utente, a presentare la richiesta.
Ai sensi dell’art. 5.3, fra i terzi non possono esserci le Big Tech qualificate dalla Commissione UE come gatekeeper ai sensi del Regolamento (UE) 2022/1925 (“Data Markets Act” o “DMA”): attualmente, Amazon, Apple, Google, Meta, Microsoft e Tik Tok. Ciò, per evitare che una normativa (il Data Act) volta a rafforzare l’indipendenza tecnologica crei ulteriori dipendenze verso i gatekeeper (contrastate dal DMA). Viceversa, il terzo può essere un intermediario dei dati iscritto all’apposito registro europeo istituito ai sensi del DGA. Al momento, sono ancora pochi i player che hanno portato a termine la registrazione, e fra essi nessun italiano.
L’intermediario dei dati non può usare i dati; può conservarli o convertirli, solo su richiesta del titolare; deve garantire un accesso equo, trasparente e non discriminatorio, oltre che interoperabilità e adeguata sicurezza per informazioni che, ove finissero nelle mani della concorrenza, potrebbero danneggiare il titolare o l’utente.
Il terzo (destinatario) può trattare i dati messi a sua disposizione soltanto per le finalità e alle condizioni concordate con l’utente, ed ha una serie di divieti (ad esempio, non può mettere i dati a disposizione di altri terzi né tantomeno di gatekeeper ai sensi del DMA, non può utilizzare i dati che riceve in modo tale da avere un impatto negativo sulla sicurezza del prodotto connesso o del servizio correlato, ecc.).
Qualsiasi clausola contrattuale che, a danno dell’utente, escluda l’applicazione dei diritti dell’utente sopra indicati, deroghi agli stessi o ne modifichi gli effetti non è vincolante per l’utente.
Cosa succede se i dati costituiscono segreto commerciale del titolare o di un terzo
Le norme sull’accesso ai dati prevedono limitazioni: per ragioni di sicurezza dei prodotti connessi, di tutela dei prototipi, di protezione dei dati personali. La più significativa è che il titolare dei dati abbia un segreto commerciale da tutelare. Ai sensi della direttiva (UE) 2016/943, è “segreto commerciale” qualunque informazione segreta, che ha valore economico in quanto segreta e che è protetta con misure di sicurezza.
I segreti commerciali sono conservati e comunicati solo a condizione che prima della comunicazione il titolare dei dati e l’utente adottino tutte le misure necessarie per tutelarne la riservatezza, in particolare rispetto a terzi. Il titolare dei dati o, se diverso, il detentore del segreto commerciale individua i dati protetti quali segreti commerciali, anche nei pertinenti metadati, e concorda con l’utente le misure proporzionate necessarie a preservare la riservatezza dei dati condivisi, in particolare rispetto a terzi, quali clausole contrattuali tipo, accordi di riservatezza, protocolli di accesso rigorosi, norme tecniche e l’applicazione di codici di condotta.
In circostanze eccezionali, qualora il titolare dei dati che è detentore di un segreto commerciale possa dimostrare che subirà molto probabilmente gravi danni economici a causa della divulgazione di segreti commerciali, malgrado le misure di cui sopra, questo titolare dei dati può rifiutare di volta in volta una richiesta di accesso ai dati specifici. Un grave danno economico implica perdite economiche gravi e irreparabili. La dimostrazione che c’è il rischio di perdite simili deve essere debitamente motivata sulla base di elementi oggettivi, in particolare l’applicabilità della protezione dei segreti commerciali in paesi terzi, la natura e il livello di riservatezza dei dati richiesti nonché l’unicità e la novità del prodotto connesso, e va fornita per iscritto all’utente senza indebito ritardo. Se il titolare dei dati per proteggere il suo segreto commerciale rifiuta di rilasciare i dati, deve notificarlo all’autorità competente per l’applicazione del Data Act.
Come deve avvenire la messa a disposizione dei dati
Quando la messa a disposizione dei dati è direttamente verso l’utente, deve essere gratuita, anche se l’utente è un’impresa. Viceversa, nel quadro di relazioni tra imprese, il titolare dei dati che mette i dati a disposizione di un destinatario dei dati scelto dall’utente deve concordare con quest’ultimo le modalità della messa a disposizione dei dati e deve farlo a condizioni eque, ragionevoli e non discriminatorie e in modo trasparente.
Sempre nei rapporti fra imprese, il titolare dei dati può concordare con il destinatario dei dati (diverso dall’utente) un compenso per la messa a disposizione dei dati, purché sia ragionevole e non discriminatorio. Il compenso può includere un margine, ma non quando il destinatario dei dati è una PMI. La Commissione UE adotterà orientamenti sul calcolo del compenso ragionevole. In ogni caso, accordi a lungo termine tra i titolari dei dati e i destinatari dei dati, ad esempio mediante un modello di abbonamento o l’uso di contratti intelligenti, possono ridurre i costi in operazioni regolari o ripetitive nell’ambito di una relazione commerciale.
Utenti, titolari dei dati e destinatari dei dati avranno accesso a organismi certificati di risoluzione delle controversie, imparziali e indipendenti, provvisti delle competenze necessarie, contattabili per via elettronica e in grado di adottare le proprie decisioni in modo rapido, efficiente ed efficace sotto il profilo dei costi.
Nel mettere a disposizione i dati, il titolare dei dati potrà applicare adeguate misure tecniche di protezione, compresi i contratti intelligenti e la cifratura.
Le clausole contrattuali sull’accesso ai dati e sul relativo utilizzo tra imprese
Il Data Act punta ad evitare che la parte in una posizione negoziale più forte sfrutti questo vantaggio a scapito dell’altra parte nel negoziare l’accesso ai dati, rendendolo commercialmente meno redditizio o proibitivo. Infatti, gli squilibri contrattuali danneggiano tutte le imprese che non hanno una capacità significativa di negoziare le condizioni di accesso ai dati e che potrebbero non avere altra scelta se non quella di accettare clausole contrattuali «prendere o lasciare». Proprio per impedire questo fenomeno, in linea con altre norme del diritto privato europeo, il Data Act contrasta – nei rapporti fra imprese – clausole contrattuali riguardanti l’accesso ai dati e il relativo utilizzo o la responsabilità e i mezzi di ricorso per la violazione o la cessazione degli obblighi relativi ai dati che: 1) violino le norme che esso stesso detta, 2) siano imposte unilateralmente.
L’art. 13 del Data Act individua – fra le clausole contrattuali – quelle sicuramente abusive.
Sono tali le clausole che
- escludono o limitano la responsabilità della parte che ha imposto unilateralmente la clausola in caso di atti intenzionali o negligenza grave;
- escludono i mezzi di ricorso a disposizione della parte alla quale la clausola è stata imposta unilateralmente in caso di inadempimento degli obblighi contrattuali o la responsabilità della parte che ha imposto unilateralmente la clausola in caso di violazione di tali obblighi;
- conferiscono alla parte che ha imposto unilateralmente la clausola il diritto esclusivo di determinare se i dati forniti sono conformi al contratto o di interpretare una qualsiasi clausola del contratto.
Al paragrafo 5, l’art. 13 indica una serie di casi in cui vige una presunzione di abusività delle clausole contrattuali riguardanti l’accesso ai dati e il relativo utilizzo o la responsabilità e i mezzi di ricorso per la violazione o la cessazione degli obblighi relativi ai dati. Per brevità, non ne riportiamo l’elenco. Come sempre di fronte a una presunzione, esiste la possibilità della prova contraria, presentabile dalla parte che vuole confutare tale presunzione.
In ogni caso, il Data Act precisa che se la clausola contrattuale abusiva è scindibile dalle altre clausole contrattuali, le clausole rimanenti mantengono il loro carattere vincolante.
Le imprese che ritengono che ci siano clausole abusive in contratti che devono sottoscrivere o che hanno sottoscritto, oltre a contestarle in eventuale sede di contenzioso, possono presentare un reclamo all’autorità.
Aspetti tecnici della messa a disposizione dei dati
Come l’istituto della portabilità dei dati personali previsto dal GDPR (pochissimo usato dagli interessati), anche la messa a disposizione dei dati prevista dal Data Act richiede indirizzi omogenei sul formato dei dati, sulle soluzioni di interoperabilità dei dati, dei meccanismi e servizi di condivisione dei dati. La Commissione UE è lavoro su soluzioni di standardizzazione. I fatti ci diranno se sarà il Data Act a offrire la spinta necessaria a far funzionare finalmente la portabilità a tutti i livelli (compresa la portabilità dei dati personali voluta dal GDPR), oppure se le difficoltà tecniche avute finora per il GDPR ostacoleranno anche il Data Act.
Impatti del Data Act sui fornitori di servizi di trattamento dati
Il Data Act ha provveduto a riordinare e a riformare un ambito di notevole interesse concreto per una platea vastissima di imprese (B2B) e di utenti privati (B2C): i servizi di trattamento dati. L’ha fatto in modo da agevolare il passaggio da un fornitore all’altro e da migliorare l’interoperabilità dei dati e dei meccanismi e servizi di condivisione dei dati. Dal 12 settembre 2025 i fornitori di servizi di trattamento dati hanno dovuto apportare modifiche alle loro condizioni contrattuali e ai loro processi operativi.
Quali sono i servizi di trattamento dati e a chi sono erogati secondo il Data Act
Secondo l’art. 2.8 del Data Act, il «servizio di trattamento dei dati» è un«servizio digitale fornito a un cliente e che consente l’accesso di rete universale [cioè gestibile da vari dispositivi] e su richiesta a un pool condiviso di risorse informatiche configurabili [cioè settabili], scalabili [cioè modificabili con facilità] ed elastiche [cioè capaci di aggiungere o rilasciare risorse di elaborazione, memoria e storage in modo rapido e semplice] di natura centralizzata, distribuita o altamente distribuita e che può essere rapidamente erogato e rilasciato con un minimo sforzo di gestione o interazione con il fornitore di servizi».
La definizione abbraccia un numero considerevole di servizi, con una gamma ampia e variegata di finalità, funzionalità e impostazioni tecniche. Secondo l’articolo 2.30 del Data Act, può essere «cliente» di questo tipo di servizi – ed è quindi tutelato dalle nuove norme – qualsiasi «persona fisica o giuridica che ha stipulato un rapporto contrattuale con un fornitore di servizi di elaborazione dati con l’obiettivo di usufruire di uno o più servizi di elaborazione dati».
Sono senz’altro qualificabili come servizi di trattamento dati i servizi edge, consistenti nel fornire una rete formata da un gruppo di dispositivi di connettività, in grado di elaborare e memorizzare dati critici localmente, e di trasmettere tutti i dati ricevuti e/o elaborati a un data center centrale o a un repository di cloud storage.
Tuttavia, nel quadro dei servizi di trattamento dati, per la capillarità della loro diffusione e per la varietà della loro clientela, sono assolutamente centrali i servizi di cloud computing. Il tema del passaggio dati da un fornitore all’altro (“portabilità”) e il tema dell’interoperabilità sono due temi classici dei contratti del cloud. Finora, questi temi erano stati affrontati a livello europeo solo in testi di autodisciplina (come lo SWIPO, Switching Cloud Providers and Porting Data), ritenuti dal Data Act insufficienti per diffusione e meritevoli di essere rafforzati con obblighi normativi. Per porre i clienti in condizione di passare da un fornitore a un altro in un modo rapido e agevole e senza perdere dati o funzionalità delle applicazioni, il Data Act si prefigge di eliminare gli ostacoli pre-commerciali, commerciali, tecnici, contrattuali e organizzativi che tradizionalmente si frappongono a un passaggio efficace tra servizi di trattamento dati (cfr. considerando 79).
Suddivisione dei servizi cloud: IaaS, PaaS e SaaS
Tradizionalmente, i servizi di cloud computing sono suddivisi nelle tre tipologie IaaS, PaaS e SaaS.
I servizi IaaS includono l’accesso e la gestione di rete, server, virtualizzazione e storage. Se il servizio è IaaS, la gestione e l’aggiornamento del datacenter sono a carico del fornitore; viceversa, il cliente mantiene il controllo dell’infrastruttura grazie a un’interfaccia (API) o a una dashboard. Ad esempio, AWS, Microsoft (con Azure) e Google Cloud offrono servizi IaaS. Quest grandi player controllano 2/3 di questo mercato.
I servizi PaaS sono rivolti soprattutto a sviluppatori e programmatori. Il fornitore ospita hardware e software in una sua infrastruttura, che distribuisce la piattaforma via web, permettendo al cliente di sviluppare, eseguire e gestire le applicazioni senza dover creare e amministrare l’infrastruttura o la piattaforma. Il cliente può dedicarsi quindi alla scrittura di codice, alla creazione e gestione delle app, ma è esonerato dal doversi occupare degli aggiornamenti software o della manutenzione dell’hardware. È il fornitore ad offrire l’ambiente in cui creare e distribuire le app. AWS Elastic Beanstalk ed Heroku sono esempi di PaaS.
Fra i servizi di cloud computing, i servizi SaaS sono i più completi. Sempre tramite web, il fornitore si occupa degli aggiornamenti software, della correzione dei bug e di altre attività generiche di manutenzione del software. Una caratteristica comune delle piattaforme SaaS è che esse sono soggette a un abbonamento o al pagamento in base all’utilizzo. Dropbox, Salesforce, Google Apps sono classici esempi di servizio SaaS.
IaaS, PaaS e SaaS non si escludono a vicenda: spesso le imprese combinano l’uso di tutti e tre.
Questi modelli fondamentali sono ulteriormente completati da variazioni emergenti, ciascuna costituita da una combinazione distinta di risorse informatiche, quali il servizio a livello di archiviazione (Storage-as-a-Service) e il servizio a livello di banca dati (Database-as-a-Service).
Cambiare fornitore di servizi cloud: le difficoltà percepite dello switch
Soprattutto nel mondo dell’impresa, cambiare un fornitore di servizi cloud è percepito, per onerosità e rischi, come l’equivalente del “delocalizzare l’azienda”. Per lo più, l’esperienza di chi ha affrontato il passaggio da un fornitore di servizi di trattamento dati a un altro è che questo switch finisce con il distrarre dal loro lavoro principale gli operatori ICT coinvolti e si rivela più impegnativo e dispendioso in termini di tempo del previsto. Un ostacolo molto rilevante viene dagli alti costi abitualmente associati, ad esempio, all’uscita dei dati, alla lunghezza delle procedure e alla mancanza di interoperabilità tra i fornitori, che può comportare una perdita di dati e applicazioni. A causa di tutti questi ostacoli, un cliente può scegliere di ritardare il cambio di fornitore o addirittura di rinunciarvi, anche se è consapevole che questo passaggio gli gioverebbe.
Le soluzioni del Data Act
Il Data Act vuole porre i clienti in condizione di: a) passare da un servizio a un altro, mantenendo però una funzionalità minima del servizio ed evitando tempi di inattività dei servizi, oppure b) utilizzare i servizi di vari fornitori di trattamento dati, senza ostacoli indebiti. Questo vale per tutti i servizi di trattamento dati, sia a pagamento, sia gratuiti. In definitiva, l’obiettivo del Data Act è duplice: i) facilitare un mercato più competitivo con minori barriere all’ingresso di nuovi fornitori di servizi di trattamento dati; ii) rafforzare la resilienza dei clienti di questi servizi (siano essi B2B o B2C). Per agevolare il passaggio da un servizio di trattamento dati all’altro, il Capo VI del Data Act ha definito le condizioni necessarie affinché un cliente possa risolvere un contratto, i presupposti affinché possa stipulare uno o più nuovi contratti con altri fornitori di servizi di trattamento dati, il contesto nel quale possa trasferire i suoi dati esportabili e le sue risorse digitali.
Obblighi contrattuali previsti dal Data Act
L’art. 25.1 del Data Act stabilisce che «i diritti del cliente e gli obblighi del fornitore di servizi di trattamento dei dati in relazione al passaggio da un fornitore di tali servizi a un altro o, se del caso, a un’infrastruttura TIC locale sono chiaramente definiti in un contratto scritto». Questo contratto va messo a disposizione del cliente prima della firma, in modo da porre il cliente in condizione di conservarlo e di riprodurlo.
Il contratto deve stipulare o prevedere, tra l’altro, il diritto del cliente «a passare a un servizio di trattamento dei dati offerto da un diverso fornitore di servizi di trattamento dei dati o a trasferire tutti i dati, e le risorse digitali esportabili in un’infrastruttura TIC locale, senza indebito ritardo e in ogni caso non oltre un periodo transitorio massimo obbligatorio di 30 giorni di calendario da far partire dopo il termine massimo di preavviso» [articolo 25. 2 lett. a)]; «un termine massimo di preavviso per l’avvio del processo di passaggio, non superiore a due mesi» [articolo 25. 2 lett. d)]. Prima che il processo di passaggio si compia, il fornitore mantiene una serie di obblighi: deve fornire un’assistenza ragionevole al cliente e ai terzi da questi autorizzati, deve mantenere la continuità operativa e proseguire la fornitura delle funzioni o dei rispettivi servizi nell’ambito del contratto, deve fornire informazioni chiare sui rischi noti per la continuità della fornitura delle funzioni o dei servizi, deve garantire il mantenimento di un elevato livello di sicurezza durante l’intero processo di passaggio, in particolare la sicurezza dei dati durante il loro trasferimento e la continuità della sicurezza dei dati durante il periodo minimo di almeno 30 giorni di calendario per il recupero dei dati, calcolato a decorrere dalla fine del periodo transitorio definito nel contratto [art. 25.2, lett. a) punti i), ii), iii) e iv)].
Il Data Act mette nel conto l’eventualità che sia tecnicamente impossibile rispettare il periodo transitorio massimo obbligatorio di 30 giorni di calendario. Le associazioni di categoria del cloud hanno sempre insistito sull’importanza di prevedere questa possibilità, evidenziando che il passaggio è un’operazione complessa. Infatti, la varietà dei servizi disponibili, il volume dei dati da trasferire, l’assistenza tecnica specialistica e la gestione del progetto richiesta, nonché le modifiche tecniche che i clienti devono anticipare (ad esempio riconfigurazione, cambiamento dell’architettura) o chiedono, non possono essere paragonati alle operazioni di portabilità ai sensi del GDPR. Ai sensi dell’art. 25.4, in caso di impossibilità tecnica di rispettare il periodo transitorio massimo obbligatorio di 30 giorni di calendario, il fornitore di servizi di trattamento dati deve informare il cliente entro 14 giorni lavorativi dalla presentazione della richiesta di passaggio, motivando debitamente l’impossibilità tecnica e indicando un periodo transitorio alternativo, che non supera i 7 mesi. Per tutto il periodo transitorio alternativo va garantita la continuità del servizio.
Inoltre, il contratto di servizi di trattamento dati deve offrire «un’indicazione specifica dettagliata di tutte le categorie di dati e risorse digitali che possono essere trasferite durante il processo di passaggio, compresi almeno tutti i dati esportabili» [articolo 25 par. 2) lett. e)]; «un’indicazione specifica dettagliata delle categorie di dati specifiche al funzionamento interno dei servizi di trattamento dei dati del fornitore che devono essere esentate dai dati esportabili […] qualora esista un di rischio di violazione dei segreti commerciali del fornitore, a condizione che tali esenzioni non ostacolino o ritardino il processo di passaggio» [articolo 25 par. 2) lett. f)]; il diritto per il cliente, se vuole, di passare a un diverso fornitore di servizi di trattamento dati (nel qual caso sarà il cliente a dover fornire le informazioni necessarie su tale fornitore) o di passare a un’infrastruttura TIC locale o di cancellare i suoi dati esportabili e le sue risorse (art. 25.3) e «il diritto di prorogare il periodo transitorio una volta, per un periodo che il cliente considera più appropriato per i propri fini» (art. 25.5).
Infine, il contratto di servizi di trattamento dati deve contenere obbligatoriamente una clausola che garantisca al cliente la completa cancellazione di tutti i dati e a risorse digitali esportabili generati direttamente dal cliente, o che lo riguardano direttamente, dopo la scadenza del periodo di almeno 30 giorni di calendario per il recupero dei dati o dopo la scadenza di un periodo alternativo concordato successiva ai 30 giorni, a condizione che il processo di passaggio sia stato completato con successo [art. 25.2, lett. h)].
Data Act: gli obblighi di informazione nei confronti del cliente
Ai sensi dell’art. 26 del Data Act, il fornitore del servizio di trattamento dati è tenuto a fornire al cliente informazioni dettagliate sulle procedure di commutazione disponibili e sul trasferimento dei contenuti, incluse «informazioni sulle procedure disponibili per il passaggio e la portabilità al servizio di trattamento dei dati, comprese informazioni sui metodi e i formati di passaggio e di portabilità disponibili, nonché sulle restrizioni e le limitazioni tecniche note al fornitore di servizi di trattamento dei dati» [art. 26.1, lett. a)] e «un riferimento a un registro online aggiornato ospitato dal fornitore di servizi di trattamento dei dati, con informazioni dettagliate su tutte le strutture e i formati dei dati nonché le norme pertinenti e le specifiche di interoperabilità aperte, in cui devono essere disponibili i dati esportabili» [art. 26.1, lett. b)]. Questo registro non deve essere necessariamente accessibile a tutti via web; può essere accessibile esclusivamente ai clienti. Il Data Act non precisa da quando inizieranno ad essere applicati questi obblighi di informazione.
Obblighi di informazione nei confronti del pubblico secondo il Data Act
Esiste inoltre un obbligo di informazione nei confronti del pubblico ai sensi dell’art. 28 del Data Act, che impone ai fornitori di rendere disponibili sui propri siti web informazioni costantemente aggiornate riguardanti «la giurisdizione cui è soggetta l’infrastruttura TIC utilizzata per il trattamento dei dati dei loro servizi individuali» [art. 28.1, lett. a)] e «una descrizione generale delle misure tecniche, organizzative e contrattuali adottate dal fornitore di servizi di trattamento dei dati al fine di impedire l’accesso governativo internazionale ai dati non personali detenuti nell’Unione o il loro trasferimento nei casi in cui tale accesso o trasferimento creerebbe un conflitto con il diritto dell’Unione o con il diritto nazionale dello Stato membro interessato» [art. 28.1, lett. b)]. A quest’ultima norma si aggiunge l’obbligo per i fornitori di servizi di trattamento, ai sensi dell’art. 32.1 del Data Act, di adottare «tutte le misure tecniche, organizzative e giuridiche appropriate, ivi compresi contratti, al fine di impedire l’accesso governativo internazionale e di paesi terzi ai dati non personali detenuti nell’Unione e il trasferimento dei dati nei casi in cui tale trasferimento o accesso creerebbe un conflitto con il diritto dell’Unione o con il diritto nazionale dello Stato membro interessato». Questo combinato disposto estende ai dati non personali le norme restrittive sul trasferimento di dati personali verso Paesi terzi (Capo V del GDPR), dimostrando, se mai ce ne fosse stato bisogno, che l’Unione Europea ritiene i dati un fattore competitivo nel mercato globale e un elemento sensibile a livello geopolitico.
Abolizione graduale delle tariffe di passaggio
Dopo tre anni dalla entrata in vigore del Data Act, saranno eliminate le spese di commutazione, comprese le spese per l’uscita dei dati (vale a dire le spese per il transito dei dati). Dal 12 gennaio 2027, i fornitori di servizi di trattamento dati non potranno più imporre al cliente tariffe per il processo di passaggio ad altri fornitori. Viceversa, fino a quella data, i fornitori potranno ancora addebitare ai propri clienti i costi di passaggio, sia pure in una misura ridotta. In base all’art. 29.4 del Data Act, prima di stipulare un contratto con un cliente, i fornitori di servizi di trattamento dati devono fornire al potenziale cliente informazioni chiare sulle spese standard di servizio e sulle sanzioni che potrebbero essere imposte in caso di risoluzione anticipata, nonché sulle tariffe di passaggio ridotte che potrebbero essere applicate fino al 12 gennaio 2027. Inoltre, se del caso, i fornitori di servizi di trattamento dei dati forniscono informazioni a un cliente sui servizi di trattamento dei dati che comportano un passaggio altamente complesso o costoso o per i quali è impossibile effettuare il passaggio senza significative interferenze nell’architettura dei dati, delle risorse digitali o dei servizi.
Aspetti tecnici del passaggio da un servizio di trattamento dati all’altro
L’art. 30.1 del Data Act è rivolto ai fornitori di servizi IaaS, che definisce come «fornitori di servizi di trattamento dei dati concernenti risorse informatiche scalabili ed elastiche limitate a elementi infrastrutturali quali server, reti e risorse virtuali necessarie per il funzionamento dell’infrastruttura, che non forniscono tuttavia accesso ad applicazioni, servizi e software operativi memorizzati, altrimenti trattati o installati su tali elementi infrastrutturali». A costoro, il Data Act impone di adottare «tutte le misure ragionevoli in loro potere per far sì che il cliente, dopo il passaggio a un servizio che copre lo stesso tipo di servizio, raggiunga l’equivalenza funzionale nell’utilizzo del servizio del trattamento dei dati di destinazione».
Secondo l’articolo 2 n. 37 del Data Act, l’equivalenza funzionale consiste nel «ripristino, sulla base dei dati esportabili e delle risorse digitali del cliente, di un livello minimo di funzionalità nell’ambiente di un nuovo servizio di trattamento dei dati dello stesso tipo di servizio dopo il processo di passaggio, laddove il servizio del trattamento dei dati di destinazione fornisce risultati sostanzialmente comparabili in risposta al medesimo input per le caratteristiche condivise fornite al cliente in virtù del contratto».
Il Data Act non precisa i criteri per determinare in quali casi il servizio del trattamento dei dati di destinazione fornisce«risultati sostanzialmente comparabili»; tuttavia, possiamo considerare “equivalenti” i servizi che hanno lo stesso obiettivo primario, le stesse funzionalità principali e lo stesso modello di trattamento dati. Per un fornitore di servizi IaaS garantire l’equivalenza funzionale significa ricorrere a vari strumenti avanzati di gestione, automazione e orchestrazione che semplificano la distribuzione, lo spostamento e la gestione dei carichi di lavoro delle macchine virtuali (VM). La virtualizzazione consente al cliente di avviare una VM in tempi molto rapidi e di spostare agevolmente i carichi di lavoro, per fare fronte alle esigenze aziendali.
Secondo l’art. 23.1, lettera e) del Data Act, i cloud provider devono sempre permettere ai loro clienti di disaggregare, ove tecnicamente fattibile, i servizi IaaS da altri servizi di trattamento dati forniti dal medesimo fornitore. Questo vuol dire, per esempio, rendere lo storage separato dalla virtualizzazione.
Ai fornitori di servizi PaaS e SaaS, l’art. 30.2 del Data Act impone di rendere disponibili a titolo gratuito «interfacce aperte in egual misura per tutti i loro clienti e i fornitori di servizi di destinazione interessati al fine di agevolare il processo di passaggio». Tali interfacce devono includere informazioni sufficienti sul servizio in questione al fine di permettere lo sviluppo di software per comunicare con i servizi, ai fini della portabilità e dell’interoperabilità dei dati. Un’interfaccia aperta è un’API pubblica, cioè disponibile a chiunque. Grazie a questa norma, i clienti potranno sviluppare app che interagiscono con l’API, possibile fonte di innovazione.
Regime specifico (esenzioni) per alcuni servizi
Un’esenzione importante riguarda i servizi di trattamento dati «forniti come versione non destinata alla produzione, a fini di prova e valutazione e per un periodo limitato di tempo». Questi sono integralmente esonerati dall’applicazione del Capo VI del Data Act, quindi da tutti gli obblighi fin qui descritti (art. 31.2).
In base all’art. 31.1, l’obbligo di conseguire l’equivalenza funzionale nell’utilizzo del nuovo servizio di trattamento dei dati nell’ambiente informatico di un altro fornitore che copre il servizio equivalente, l’abolizione graduale delle tariffe di passaggio e le norme sugli aspetti tecnici del passaggio non si applicano ai servizi di trattamento dei dati “su misura”, cioè «le cui caratteristiche principali siano state per la maggior parte personalizzate al fine di soddisfare le esigenze specifiche di un singolo cliente, o i cui componenti siano stati tutti sviluppati per le finalità di un singolo cliente, e qualora tali servizi di trattamento dei dati non siano offerti su vasta scala commerciale tramite il catalogo di servizi del fornitore di servizi di trattamento dei dati». Prima della conclusione di un simile contratto di servizi di trattamento dati “su misura”, il fornitore deve informare il potenziale cliente degli obblighi del Capo Vi del Data Act che non si applicheranno (art. 31.3).
Autorità competenti e sanzioni
Secondo lo schema classico delle normative europee, anche il Data Act prevede che ogni Stato membro debba istituire una o più autorità competenti, investite del compito di garantire che le violazioni degli obblighi del Regolamento siano oggetto di sanzioni efficaci, proporzionate e dissuasive: sanzioni pecuniarie, avvertimenti, ammonimenti o ordini di conformare le pratiche commerciali agli obblighi imposti del Data Act.
Tocca agli Stati membri, all’atto dell’istituzione delle autorità competenti, attribuire ad esse compiti chiaramente definiti, compresi poteri di controllo e poteri sanzionatori. Gli Stati membri avranno tempo fino al 12 settembre 2025 per definire le norme relative alle sanzioni e per notificarle alla Commissione UE.
Data Act: cosa devono fare ora imprese e pubbliche amministrazioni
Con l’applicabilità del Data Act, imprese e pubbliche amministrazioni non possono più limitarsi a considerare i dati come un sottoprodotto inevitabile dell’attività operativa. Il Regolamento rende esplicito che ogni organizzazione che immette sul mercato prodotti connessi, eroga servizi correlati o utilizza servizi di trattamento dati deve sapere quali informazioni genera, chi ne è titolare, in quali condizioni le può condividere o ricevere, come gestire la portabilità verso altri fornitori.
Per i produttori e i fornitori di servizi di trattamento dati, il primo passaggio è un audit approfondito dei contratti, delle architetture tecniche e dei flussi informativi: occorre identificare dove si generano i dati, quali sono “prontamente disponibili”, quali clausole contrattuali possono risultare abusive e quali processi di switch verso altri provider sono oggi possibili o, al contrario, bloccati da vincoli tecnici o economici. Parallelamente, è necessario rivedere la documentazione informativa verso clienti e utenti, allineandola agli obblighi di trasparenza previsti dal Regolamento.
Per le imprese utilizzatrici di prodotti connessi e servizi cloud, la priorità è integrare il Data Act nelle proprie strategie di procurement e di gestione dei fornitori: nella scelta di un macchinario, di una piattaforma SaaS o di un’infrastruttura IaaS non conta più solo il prezzo o la performance, ma anche la qualità dell’accesso ai dati, la reversibilità della soluzione, la chiarezza delle clausole sull’uso dei dati da parte del fornitore e dei terzi. Infine, per le PA che acquistano soluzioni di smart city, sanità digitale, mobilità connessa o servizi cloud, il Data Act può diventare uno strumento di politica industriale e di sovranità tecnologica, se usato per imporre nei capitolati requisiti di interoperabilità, portabilità e localizzazione dei dati coerenti con gli obiettivi europei.
In questa prospettiva, il Data Act non è solo una nuova voce nel catalogo degli adempimenti, ma una norma-ponte che costringe tutto l’ecosistema – produttori, provider, imprese utilizzatrici e amministrazioni – a ragionare sui dati come infrastruttura abilitante di competitività, innovazione e autonomia strategica, e non più come un patrimonio opaco confinato nelle mani di pochi attori dominanti.
