Il Data Act rappresenta una pietra miliare nella regolamentazione europea dell’economia digitale ed è destinato a trasformare radicalmente il modo in cui i dati vengono condivisi e utilizzati nell’Unione Europea. Questa normativa, pubblicata nella Gazzetta Ufficiale dell’UE il 22 dicembre 2023 e applicabile dal 12 settembre 2025, mira a creare un mercato unico europeo dei dati caratterizzato da equità, competitività e innovazione.

L’esigenza del Data Act nasce dalla volontà di regolamentare un panorama digitale in continua evoluzione, caratterizzato da una crescita esponenziale di prodotti interconnessi, che formano la cosiddetta Internet delle Cose (IoT). Questa rete genera volumi di dati industriali senza precedenti e rappresenta un potenziale enorme per l’innovazione e la competitività in Europa e, proprio per sbloccare questo potenziale e garantire una distribuzione equa del valore economico dei dati, l’Unione Europea ha elaborato il Data Act.

Questa legge si inserisce in un quadro più ampio che include anche il Data Governance Act, la prima iniziativa della strategia europea sui dati. Mentre il Data Governance Act si concentra sulla creazione di fiducia nei meccanismi volontari di condivisione dei dati, il Data Act fornisce un quadro legale chiaro e vincolante per l’accesso e l’uso dei dati. Insieme, queste normative mirano a creare un vero e proprio mercato unico dei dati, posizionando l’Europa come leader globale in questo settore.

Il Data Act persegue i seguenti obiettivi chiave:

  • Potenziare l’utente: Conferisce agli utenti di prodotti connessi (siano essi imprese o singoli individui) un maggiore controllo sui dati che essi stessi generano
  • Garantire la correttezza: Stabilisce condizioni generali per la condivisione dei dati tra imprese (B2B)
  • Promuovere la concorrenza: Contiene misure per aumentare l’equità e la competizione nel mercato del cloud europeo e per proteggere le imprese da clausole contrattuali inique
  • Rispondere a esigenze eccezionali: Istituisce un meccanismo per cui le entità del settore pubblico possono richiedere dati privati in situazioni di necessità eccezionale (es. emergenze pubbliche)
  • Proteggere i dati non personali: Introduce misure di salvaguardia per evitare che governi di paesi terzi possano accedere a dati non personali in violazione delle leggi dell’UE
  • Favorire l’interoperabilità: Definisce requisiti essenziali per garantire il flusso continuo dei dati tra settori e Stati membri, agevolato dagli Spazi Europei Comuni dei Dati
Crediti: Shutterstock

Crediti: Shutterstock

Condivisione dei dati tra aziende e consumatori nel contesto dell’IoT

Questo capitolo è il fulcro del Data Act, in quanto mira a riequilibrare il potere all’interno dell’economia dei dati. Permette agli utenti di prodotti connessi (ad es. auto intelligenti, dispositivi medici, macchinari industriali) di accedere, utilizzare e trasferire i dati che essi stessi “co-creano” attraverso l’uso di tali prodotti o dei servizi correlati.

Per esempio, se un’azienda agricola utilizza un macchinario connesso, il produttore del macchinario è il titolare dei dati, mentre l’azienda agricola è l’utente. Il Data Act garantisce che l’azienda possa richiedere i dati generati e, se lo desidera, condividerli con una terza parte, come un’azienda di manutenzione o assicurativa. Il titolare dei dati non può utilizzare i dati non personali senza il consenso dell’utente.

I dati in questione includono dati grezzi e pre-elaborati, come temperatura, pressione o velocità, facilmente accessibili senza sforzi sproporzionati. Sono invece esclusi dati inferiti o derivati (ad es. dati altamente arricchiti) e il Data Act non pregiudica la normativa sui diritti di proprietà intellettuale.

Per facilitare questo processo, la normativa impone ai titolari dei dati di fornire agli utenti informazioni chiare sui tipi di dati generati e di rendere i dati accessibili gratuitamente e tramite un processo semplice. Vi sono però due limitazioni; la prima è che i dati ottenuti non possono essere usati per sviluppare un prodotto concorrente, mentre la seconda è che i titolari dei dati possono rifiutare la condivisione solo se sussiste il rischio di compromettere la sicurezza del prodotto o se la divulgazione di segreti commerciali causerebbe un danno economico grave.

Norme sulla condivisione obbligatoria di dati B2B

Questo capitolo stabilisce le regole per le situazioni in cui un’impresa è legalmente obbligata, per legge, a condividere dati con un’altra impresa. Tali termini e condizioni devono essere equi, ragionevoli e non discriminatori. A differenza della condivisione con l’utente, il titolare dei dati può richiedere una “compensazione ragionevole” per la condivisione, che copra i costi tecnici e organizzativi sostenuti. Tuttavia, per le micro e piccole imprese, tale compenso non può superare i costi effettivi sostenuti. Questo meccanismo incentiva la condivisione, pur proteggendo le parti più deboli.

Hitachi Virtual Storage Platform One

Crediti: Shutterstock

Clausole contrattuali inique

Il Data Act si propone anche di proteggere le imprese europee, in particolare le PMI, dalle clausole contrattuali inique imposte da attori con una posizione di mercato dominante. Lo fa stabilendo un test di iniquità per le condizioni “prendere o lasciare” imposte unilateralmente, relative all’accesso e all’uso dei dati.

La norma elenca specificamente alcune clausole che sono considerate sempre inique (ad es. quelle che limitano la responsabilità per atti intenzionali) e altre che sono presunte tali. Una clausola considerata iniqua perde la sua validità e viene semplicemente rimossa dal contratto, rafforzando la posizione negoziale delle imprese più piccole.

Condivisione di dati tra aziende e Pubblica Amministrazione

Questo capitolo permette agli enti pubblici di accedere ai dati detenuti da entità private in situazioni di “necessità eccezionale”. Tale necessità può derivare da un’emergenza pubblica (ad es. pandemie, disastri naturali) o da situazioni non di emergenza, come l’ottimizzazione del flusso di traffico basata su dati anonimizzati dei GPS.

In caso di emergenza, l’ente pubblico può richiedere dati non personali e, se necessario, anche dati personali (che il titolare dei dati dovrà, ove possibile, anonimizzare). Nelle situazioni non di emergenza, la richiesta è limitata ai soli dati non personali e solo se l’ente pubblico dimostra di non essere riuscito ad accedervi con altri mezzi.

La richiesta deve sempre e comunque rispettare principi di specificità, trasparenza e proporzionalità e i segreti commerciali devono essere protetti. Il Data Act prevede anche un regime di compensazione per le aziende, con le micro e piccole imprese che in situazioni non di emergenza sono esenti dall’obbligo di fornire i dati.

data act

Crediti: Shutterstock

Cambio tra servizi di elaborazione dati

Per favorire un mercato competitivo, il Data Act mira inoltre a rendere il passaggio da un provider di servizi di elaborazione dati (ad es. cloud e edge computing) a un altro semplice e senza costi. Attualmente, i clienti affrontano barriere come oneri elevati per l’uscita dei dati (data egress), procedure complesse e mancanza di interoperabilità, che possono causare la perdita di dati o applicazioni. Il Data Act rimuoverà completamente i costi di uscita dei dati a partire dal 12 gennaio 2027, garantendo così una maggiore mobilità dei clienti e un mercato più dinamico.

Accesso illegale da governi di Paesi terzi

Questo capitolo protegge i dati non personali archiviati nell’UE da richieste di accesso o trasferimento da parte di governi di Paesi terzi, quando tali richieste sono in conflitto con il diritto europeo. Il Data Act non proibisce i flussi di dati transfrontalieri, ma assicura che le protezioni europee viaggino con i dati.

Se non esiste un accordo internazionale che regoli l’accesso, i dati possono essere trasferiti solo se il sistema legale del paese terzo offre garanzie specifiche. I fornitori di servizi sono inoltre tenuti ad adottare misure ragionevoli (come la crittografia) per prevenire accessi non autorizzati e a informare i clienti quando possibile prima di concedere l’accesso ai loro dati.

Interoperabilità

L’interoperabilità è cruciale per il successo degli Spazi Europei Comuni dei Dati. Il Data Act definisce requisiti essenziali per i partecipanti a questi spazi, garantendo che i dati possano fluire liberamente, preparando il terreno per standard armonizzati e specifiche aperte e facilitando l’uso di smart contracts per l’esecuzione automatizzata degli accordi di condivisione dei dati.

Applicazione e disposizioni generali

I singoli Stati membri sono responsabili dell’applicazione del Data Act. Saranno designate una o più autorità competenti per monitorare e far rispettare la legge. In caso di più autorità, uno di loro sarà nominato “coordinatore dei dati”, fungendo da punto di contatto unico a livello nazionale per tutte le questioni relative all’attuazione del Data Act.

Infine, il Data Act prevede che le sanzioni stabilite dalle autorità competenti per le infrazioni siano efficaci, proporzionate e dissuasive. Gli Stati membri possono comunque istituire organismi di risoluzione delle controversie per assistere le parti che non riescono a trovare un accordo su termini di condivisione equi e ragionevoli.

Per ulteriori informazioni, sono disponibili le FAQ ufficiali redatte dalla Commissione UE.

(Immagine in apertura: Shutterstock)