Data Act: la guida pratica per capirlo e applicarlo

Il Data Act (Regolamento UE 2023/2854) è una normativa europea che stabilisce regole armonizzate sull’accesso equo ai dati e sul loro utilizzo. Entrato in vigore l’11 gennaio 2024, sarà pienamente applicabile dal 12 settembre 2025, con alcune disposizioni specifiche (come l’accesso ai dati by design) che diventeranno operative dal 12 settembre 2026 per i prodotti connessi immessi sul mercato dopo tale data. Il regolamento rappresenta un tassello fondamentale della strategia europea per i dati, completando il Data Governance Act e introducendo regole orizzontali e vincolanti su chi può accedere ai dati, a quali condizioni e con quali limiti.

Il Data Act mira a ridefinire l’accesso e il controllo dei dati industriali generati da prodotti connessi nell’UE, con diversi obiettivi chiave: rafforzare il potere di consumatori e imprese offrendo maggior controllo sui dati generati dai dispositivi connessi; promuovere uno scambio sicuro ed efficiente dei dati industriali; ampliare la libertà di scelta dei consumatori; garantire alle imprese l’accesso ai dati operativi delle attrezzature; consentire il passaggio agevole tra provider cloud; vietare pratiche contrattuali che ostacolano la circolazione dei dati. In sintesi, il regolamento punta a sbloccare la valorizzazione economica dei dati, superando asimmetrie informative e contrattuali, favorendo condizioni di mercato concorrenziali e promuovendo soluzioni innovative basate sui dati.

Il Data Act adotta una definizione ampia di “dati” come rappresentazione digitale di atti, fatti o informazioni, includendo sia dati personali che non personali, nonché i relativi metadati. Il baricentro è costituito dai dati generati dall’uso di prodotti connessi (come veicoli intelligenti o macchinari industriali) e dei servizi correlati, nella misura in cui tali dati risultino “prontamente disponibili” per il data holder. Rientrano nell’ambito di applicazione i dati in forma grezza (non modificati in modo sostanziale) e i dati pretrattati per renderli comprensibili e utilizzabili, come quelli raccolti da sensori. Restano invece esclusi i dati desunti o derivati, frutto di un arricchimento significativo da parte del titolare, come le informazioni ricavate mediante algoritmi proprietari complessi.

Il Data Act identifica tre figure principali: l’utente, il titolare dei dati e l’eventuale destinatario dei dati. L’utente è una persona fisica o giuridica che possiede un prodotto connesso o a cui sono stati trasferiti contrattualmente diritti temporanei di utilizzo di tale prodotto o che riceve un servizio correlato (può essere quindi anche un’impresa). Il titolare dei dati è una persona fisica o giuridica che ha il diritto o l’obbligo di utilizzare e mettere a disposizione dati (ad esempio, il produttore di un macchinario automatizzato intelligente). Il destinatario dei dati è una persona fisica o giuridica, diversa dall’utente, a disposizione della quale il titolare dei dati mette i dati, che può essere un terzo designato dall’utente o un soggetto che agisce per fini propri, disposto a pagare per i dati.

Il Data Act introduce doveri a carico dei fabbricanti di prodotti connessi immessi sul mercato dell’Unione Europea e ai fornitori di servizi correlati, nonché dei titolari dei dati, indipendentemente dal loro luogo di stabilimento. Ciò significa che il regolamento si applica a chiunque operi sul mercato europeo, sia esso stabilito nell’Unione o meno. Viceversa, i diritti sono previsti solo per gli utenti nell’Unione, e la messa a disposizione dei dati è autorizzata solo nei confronti di destinatari nell’Unione. Questa impostazione asimmetrica è intenzionale: un’impresa europea ha il diritto di chiedere dati a un’impresa non europea i cui prodotti connessi sono immessi nel mercato UE, mentre un’impresa europea operante su altri mercati non è tenuta a fare altrettanto verso utenti di altri mercati.

Il Data Act opera in modo complementare al GDPR, senza interferire con esso. Il regolamento chiarisce esplicitamente che, in caso di conflitto tra il Data Act e il diritto dell’Unione sulla protezione dei dati personali, quest’ultimo prevale. Il Data Act non introduce una base giuridica autonoma per il trattamento dei dati personali e non modifica gli obblighi del titolare quando un dataset contiene dati personali. Quando l’utente che esercita i diritti di accesso ai sensi del Data Act è anche “interessato” ai sensi del GDPR, la Commissione suggerisce una lettura convergente: la richiesta di dati può essere trattata come se fosse una richiesta di accesso o portabilità ai sensi degli articoli 15 e 20 del GDPR. Quando invece l’utente non coincide con l’interessato, il Data Act da solo non basta a legittimare la comunicazione di dati personali; serve una base giuridica autonoma ai sensi del GDPR.

Il Data Act stabilisce che gli utenti di prodotti connessi possono accedere, utilizzare e trasferire i dati che co-generano attraverso l’uso del prodotto. Dal 12 settembre 2026, tutti i nuovi prodotti e servizi connessi immessi sul mercato UE devono essere progettati per assicurare accesso diretto, sicuro e strutturato ai dati. Quando il prodotto non ha una funzionalità che permetta all’utente di accedere ai dati direttamente, il titolare deve metterli a disposizione dell’utente quando questi glieli chiede. Ciò va fatto prontamente, aggiungendo i pertinenti metadati necessari per interpretare e utilizzare tali dati, con la stessa qualità di cui dispone il titolare dei dati, in modo facile, sicuro, gratuitamente, in un formato completo, strutturato, di uso comune e leggibile da dispositivo automatico e, ove possibile, in modo continuo e in tempo reale.

Il Data Act riconosce la necessità di tutelare i segreti commerciali, ma impedisce che la loro evocazione diventi un argomento bloccante capace di svuotare dall’interno il diritto di accesso. Il regolamento introduce un meccanismo procedurale che trasforma la tutela del segreto in un percorso governato e verificabile. La qualifica unilaterale di un dato come segreto commerciale, da sola, non è idonea a paralizzare la condivisione. A fronte di una richiesta di accesso, il data holder deve identificare in modo specifico i dati che ritiene rientrare nell’area del segreto commerciale. Segue una fase di “negoziazione protettiva” per concordare misure adeguate di riservatezza. Solo in circostanze eccezionali, il data holder può negare l’accesso nonostante le misure di riservatezza, ma deve dimostrare, sulla base di elementi oggettivi, che la divulgazione comporterebbe con alta probabilità un danno economico grave e irreparabile.

Il Data Act impone ai fornitori di servizi di trattamento dati (cloud, edge computing) diversi obblighi per facilitare il passaggio tra fornitori e migliorare l’interoperabilità. I contratti devono includere clausole che garantiscano il diritto del cliente di passare a un servizio offerto da un diverso fornitore entro un periodo transitorio massimo di 30 giorni, con un termine massimo di preavviso non superiore a due mesi. I fornitori devono mantenere la continuità operativa durante il passaggio, fornire assistenza ragionevole e garantire un elevato livello di sicurezza. Dal 12 gennaio 2027, i fornitori non potranno più imporre tariffe per il processo di passaggio ad altri fornitori. Inoltre, i fornitori di servizi IaaS devono adottare misure per garantire che il cliente raggiunga l’equivalenza funzionale nell’utilizzo del servizio di destinazione, mentre i fornitori di servizi PaaS e SaaS devono rendere disponibili gratuitamente interfacce aperte per agevolare il processo di passaggio.

Il Data Act punta ad evitare che la parte in una posizione negoziale più forte sfrutti questo vantaggio a scapito dell’altra parte nel negoziare l’accesso ai dati. Il regolamento contrasta, nei rapporti fra imprese, clausole contrattuali riguardanti l’accesso ai dati e il relativo utilizzo che violino le norme del Data Act o siano imposte unilateralmente. Sono considerate abusive le clausole che escludono o limitano la responsabilità del titolare dei dati per dolo o colpa grave, che escludono i mezzi di ricorso disponibili per l’altra parte in caso di controversia, o che conferiscono al titolare dei dati il diritto esclusivo di determinare se i dati forniti sono conformi al contratto. Il regolamento stabilisce anche una presunzione di abusività per altre tipologie di clausole, come quelle che consentono al titolare dei dati di utilizzare i dati generati dall’altra parte in modo da danneggiare significativamente gli interessi commerciali dell’altra parte. Se una clausola contrattuale è abusiva, non è vincolante per la parte che la subisce.

Il Data Act prevede che ogni Stato membro debba istituire una o più autorità competenti, investite del compito di garantire che le violazioni degli obblighi del Regolamento siano oggetto di sanzioni efficaci, proporzionate e dissuasive. Queste possono includere sanzioni pecuniarie, avvertimenti, ammonimenti o ordini di conformare le pratiche commerciali agli obblighi imposti dal regolamento. Tocca agli Stati membri, all’atto dell’istituzione delle autorità competenti, attribuire ad esse compiti chiaramente definiti, compresi poteri di controllo e poteri sanzionatori. Gli Stati membri avevano tempo fino al 12 settembre 2025 per istituire l’Autorità competente e per definire le norme relative alle sanzioni e per notificarle alla Commissione UE. Per quanto riguarda i dati personali, le autorità di controllo incaricate di sorvegliare l’applicazione del GDPR sono incaricate di sorvegliare anche l’applicazione del Data Act per quanto riguarda la protezione dei dati personali.

Il Data Act offre significative opportunità alle PMI, riequilibrando i rapporti con le grandi piattaforme attraverso regole di accesso e portabilità dei dati. Sebbene molte disposizioni prevedano esenzioni o gradienti di applicazione per le micro e piccole imprese, il regolamento incide profondamente anche sul tessuto delle PMI manifatturiere e dei servizi avanzati. Per una PMI che acquista un impianto connesso, il Data Act offre due tipi di leva: da un lato, consente di pretendere dai fornitori informazioni chiare e verificabili su quali dati sono generati, dove sono conservati e con quali interfacce di accesso; dall’altro, permette di costruire flussi informativi utili a migliorare la manutenzione, l’efficienza energetica o la pianificazione della produzione. Il Data Act funziona quindi come una “cintura di sicurezza contrattuale” che riduce i rischi di lock-in tecnologico e aumenta il potere negoziale delle PMI nei confronti di vendor globali di IoT e cloud.

Il Data Act si inserisce perfettamente nel contesto della Transizione 5.0, il piano italiano che mira a far procedere di pari passo la digitalizzazione e la sostenibilità ambientale. L’entrata in vigore del Data Act coincide con il biennio 2024-2025 in cui un rilevante numero di imprese, stimolato dal Piano Transizione 5.0, investe in beni strumentali per i quali i diritti introdotti dal Data Act possono rivelarsi assai utili. Nel settore industriale, quasi tutti i macchinari trasmettono dati operativi al produttore. Fino ad ora, l’accesso da parte degli utilizzatori era complesso, spesso vincolato a ecosistemi proprietari o a integrazioni costose. Il Data Act cambia radicalmente questo scenario: le aziende, garantendo l’accessibilità ai dati generati da macchina, possono combinarli, analizzarli e integrarli su più sistemi, abilitando sia una visibilità end-to-end sia decisioni rapide e processi ottimizzati. Questo permette di implementare casi d’uso come la manutenzione predittiva, l’ottimizzazione dei processi e analisi avanzate, perfettamente in linea con gli obiettivi della Transizione 5.0.

Il Data Act non detta norme specifiche sulle relazioni fra i manufacturer (fabbricanti di prodotti connessi) e i dealer (distributori), ma l’esigenza di ottemperare alla normativa determina due effetti rilevanti: la necessità di collaborare per permettere l’accesso ai dati e l’opportunità per i dealer di farsi delegare dagli utenti il compito di chiedere i dati ai fabbricanti. Gli obblighi di rilascio preventivo all’utente di informazioni sui dati generati sono a carico del soggetto che instaura il rapporto contrattuale con l’utente (quindi il dealer), mentre gli obblighi di rilascio gratuito dei dati sono a carico di chi ha il diritto o l’obbligo di utilizzare e mettere a disposizione dati (spesso il fabbricante). Questa distinzione crea una situazione in cui il dealer, pur gestendo la relazione contrattuale con l’utente, non ha controllo sui dati che questi genera. La soluzione migliore è un confronto tecnico-legale fra fabbricante e dealer, in cui ci si divide i compiti e si concorda la strategia da seguire.

Il Data Act è una misura fondamentale per la costruzione di un’Europa digitale sovrana, operando come leva di politica industriale digitale lungo quattro direzioni. Primo, promuove l’interoperabilità e la portabilità attraverso standard aperti e interfacce documentate, riducendo la dipendenza da singoli fornitori. Secondo, garantisce la trasparenza contrattuale e il riequilibrio dei poteri negoziali, proteggendo le PMI da clausole sleali e facilitando l’accesso ai dati. Terzo, assicura protezione da interferenze extraterritoriali, obbligando i fornitori di servizi cloud a implementare misure contro l’accesso governativo di paesi terzi ai dati non personali conservati nell’UE. Quarto, stimola l’innovazione europea attraverso l’accesso controllato ai dati per ricerca e sviluppo di nuovi servizi. Nel medio periodo, ci si attende un aumento delle richieste di accesso ai dati IoT, la diffusione di accordi equi per condivisioni B2B e una crescita dei dataset riusabili all’interno degli spazi di dati europei.

Le aziende devono affrontare tre dimensioni critiche per conformarsi al Data Act. La prima riguarda lo sviluppo di competenze diffuse in materia di dati all’interno delle organizzazioni, quella che il regolamento definisce come “alfabetizzazione in materia di dati”. La seconda sfida consiste nella necessità di comprendere se i dati relativi al prodotto o al servizio rientrano nell’ambito di applicazione del Data Act, attraverso una mappatura interna dei dati relativi ai prodotti connessi o ai servizi correlati. La terza dimensione riguarda gli aspetti “tecnici” relativi all’accesso ai dati e al loro uso: le aziende devono dotarsi di soluzioni per mettere a disposizione i dati “con la stessa qualità di cui dispone il titolare dei dati, in modo facile, sicuro, gratuitamente, in un formato completo, strutturato, di uso comune e leggibile da dispositivo automatico”. Adattarsi al Data Act richiede tempo e un coordinamento organizzativo, oltre che investimenti e una pianificazione strategica chiara, con passaggi pratici come la mappatura dei flussi di dati, la valutazione del design del prodotto e dei sistemi IT, la revisione di contratti e termini di servizio, e lo sviluppo di una strategia per proteggere i segreti commerciali.

L’articolo 41 del Data Act, che prevede l’elaborazione di clausole contrattuali tipo non vincolanti relative all’accesso ai dati e al loro utilizzo, presenta diverse criticità nell’equilibrio tra accesso ai dati, protezione della privacy e competitività delle imprese. L’European Data Protection Board (EDPB) ha evidenziato ambiguità nella classificazione degli “utenti” e problematiche nelle clausole sulla compensazione, raccomandando di limitare i meccanismi di compensazione all’uso di dati non personali, ribadendo il principio che i dati personali non possono essere considerati una merce commerciabile. Parallelamente, una coalizione di associazioni industriali guidata dalla Business Software Alliance ha espresso preoccupazioni sulle bozze di clausole contrattuali, sostenendo che vanno oltre il mandato dell’articolo 41, non riescono a distinguere tra requisiti tecnici per diversi servizi, possono imporre obblighi in conflitto con altre legislazioni UE e non stabiliscono un equilibrio equo tra le parti. L’implementazione dell’articolo 41 rappresenta quindi una sfida per bilanciare innovazione tecnologica, protezione dei diritti fondamentali e competitività economica.