Il Regolamento (UE) 2023/2854, noto come Data Act, sarà pienamente applicabile dal 12 settembre 2025.
Approvato nel marzo 2023 ed entrato in vigore l’11 gennaio 2024, il Data Act rappresenta uno dei pilastri della strategia europea per i dati, volto a rafforzare la sovranità digitale dell’UE e a promuovere un accesso equo ai dati, soprattutto nel contesto dell’Internet of Things (IoT) e dei servizi cloud.
Più controllo agli utenti sui dati generati dai dispositivi connessi
La novità centrale del Data Act è il diritto degli utenti (consumatori e imprese) ad accedere gratuitamente ai dati grezzi generati dai prodotti connessi e dai servizi correlati.
Questi dati – finora nella disponibilità esclusiva del produttore – potranno essere consultati, scaricati o condivisi con terzi, ad esempio medici, fornitori energetici o startup innovative.
Il diritto di accesso si applica a:
- Dati generati da sensori e dispositivi (es. temperatura, consumo, velocità, posizione);
- Dati sia personali che non personali, se immediatamente accessibili;
- Metadati utili al funzionamento del dispositivo o servizio.
Sono esclusi i dati derivati o elaborati (es. video, analisi predittive), mentre resta fermo il rispetto delle norme GDPR e della proprietà intellettuale.
Obblighi per le imprese: accessibilità, trasparenza e interoperabilità
Le imprese che producono o offrono prodotti connessi dovranno:
- Informare l’utente, in fase precontrattuale, sulla generazione e l’utilizzo dei dati;
- Consentire l’accesso gratuito ai dati, tramite interfacce semplici e sicure;
- Abilitare, a partire dal 12 settembre 2026, l’accesso tecnico diretto ai dati per tutti i prodotti e servizi immessi sul mercato dopo quella data.
La condivisione dei dati potrà essere rifiutata solo in casi specifici, come la tutela dei segreti commerciali o la sicurezza, previa notifica all’autorità competente.
Clausole abusive e rapporti B2B: nuove tutele per le PMI
Il Data Act introduce limiti chiari alle clausole contrattuali squilibrate, soprattutto nei rapporti B2B. Dal 12 settembre 2027, saranno nulle le clausole che:
- Impongono restrizioni ingiustificate all’accesso o all’uso dei dati;
- Attribuiscono unilateralmente diritti esclusivi;
- Ostacolano la portabilità o l’interoperabilità dei dati.
Le disposizioni si applicheranno anche ai contratti già in essere al 12 settembre 2025, se a tempo indeterminato o con scadenza oltre il 2034.
La Commissione europea predisporrà modelli contrattuali standard per facilitare la compliance, soprattutto per PMI e soggetti più deboli nei rapporti commerciali.
Condivisione con enti pubblici in casi di necessità eccezionale
Il Regolamento prevede inoltre che, in situazioni di emergenza pubblica (pandemie, disastri naturali, gravi incidenti), le autorità pubbliche possano richiedere dati detenuti da imprese, anche se personali (da anonimizzare quando possibile).
Le richieste dovranno essere:
- Proporzionate, motivate e limitate nel tempo;
- Accompagnate, per le imprese non micro o piccole, da un rimborso dei costi sostenuti.
Nei casi non emergenziali, saranno ammessi solo dati non personali e solo se strettamente necessari per finalità di interesse pubblico.
Cloud e interoperabilità: eliminazione dei costi di switching
Il Data Act mira anche a rimuovere le barriere nel mercato europeo del cloud computing:
- Dal 12 gennaio 2027, i fornitori non potranno più addebitare costi per il passaggio (switching) o l’estrazione (data egress) dei dati da una piattaforma all’altra;
- Vengono introdotti requisiti di interoperabilità tecnica tra i fornitori, per favorire la portabilità e ridurre la dipendenza da un solo provider.
Salvaguardie: segreti commerciali e accessi extra-UE
Il Regolamento tutela:
- I segreti commerciali, che possono giustificare limitazioni alla condivisione dei dati, se vi è rischio concreto e documentato di danno economico;
- Le imprese da accessi illeciti da parte di governi extra-UE: i dati non personali potranno essere trasferiti solo nel rispetto della normativa europea e nazionale.
Sono inoltre previsti meccanismi di risoluzione delle controversie e ricorsi in caso di rifiuto ingiustificato alla condivisione dei dati.
Tempistiche: applicazione graduale delle norme
Il Regolamento sarà pienamente operativo dal 12 settembre 2025, ma alcuni obblighi avranno una decorrenza differita, come indicato di seguito:
| Obbligo | Data di applicazione |
| Applicazione generale del Regolamento | 12 settembre 2025 |
| Accesso tecnico ai dati per nuovi prodotti | 12 settembre 2026 |
| Divieto di clausole abusive nei contratti B2B | 12 settembre 2027 |
| Fine dei costi di switching e data egress | 12 gennaio 2027 |
| Valutazione d’impatto da parte della Commissione UE | Entro il 2028 |
Conclusione: un nuovo equilibrio tra innovazione, equità e sovranità digitale
Il Data Act si inserisce in un quadro normativo più ampio, accanto al Data Governance Act e al Digital Markets Act, confermando l’impegno dell’Unione europea a favore di una data economy più aperta, interoperabile e inclusiva.
Per le imprese, si tratta di una trasformazione profonda, che richiede:
- Adeguamenti tecnici ai prodotti e ai sistemi di accesso;
- Revisione dei contratti con clienti e partner;
- Nuovi modelli di business basati su una più ampia circolazione dei dati.
