Il Data Act è il nuovo regolamento europeo sull’uso e la condivisione dei dati, approvato nell’ambito della strategia europea per i dati. È entrato ufficialmente in vigore il 11 gennaio 2024, ma le sue disposizioni iniziano ad applicarsi a partire dal 12 settembre 2025, dopo un periodo di transizione concesso a imprese e istituzioni per adeguarsi.
L’obiettivo del regolamento è creare un mercato unico dei dati più equo, competitivo e trasparente, dove cittadini, aziende e pubbliche amministrazioni possano accedere e utilizzare le informazioni generate dai dispositivi connessi e dai servizi digitali in modo più semplice e sicuro.
Indice degli argomenti:
Data Act, i punti chiave
- Consumatori e imprese, che ottengono maggiori diritti di accesso e portabilità dei dati generati dai dispositivi connessi (ad esempio auto, elettrodomestici smart, macchinari industriali).
- Produttori e fornitori di servizi digitali, obbligati a rendere disponibili tali dati in maniera equa e non discriminatoria.
- Pubbliche amministrazioni, che potranno accedere a dati privati in situazioni eccezionali di interesse pubblico, come emergenze o calamità.
- Provider di servizi cloud e edge, chiamati a garantire maggiore interoperabilità e a evitare pratiche di “lock-in” che impediscono agli utenti di cambiare facilmente fornitore.
In sostanza, il Data Act amplia le regole già introdotte dal Data Governance Act (in vigore dal 2022) e punta a stimolare l’innovazione nell’economia dei dati, facilitando la condivisione senza compromettere la privacy o la sicurezza.
Analizziamo, in particolare, i capi che riguardano la condivisione dei dati e i servizi cloud ed edge.
Capo II: le regole per la condivisione di dati da impresa a impresa e da impresa a consumatore
Il Capo II del Data Act introduce le regole per la condivisione di dati da impresa a impresa e da impresa a consumatore che sono volte a favorire la circolazione dei dati e una conseguente allocazione ottimale a vantaggio della società (cfr. considerando 2 del Data Act).
Il Capo II del Data Act, pertanto, ha l’obiettivo di stabilire un quadro armonizzato che specifichi chi ha il diritto di utilizzare i dati di un prodotto o di un servizio correlato, e a quali condizioni.
L’idea che sta alla base del Capo II e che gli utenti hanno il diritto di ricevere, utilizzare e trasferire i dati che hanno co- generato. Rispetto all’ambito di applicazione, sarà necessario individuare i prodotti connessi e i servizi correlati e, per fare ciò, sono di aiuto anche le Faq della Commissione europea (aggiornate il 12 settembre 2025, in occasione dell’applicabilità del regolamento).
Ad esempio, tra i prodotti connessi possono rientrare gli elettrodomestici intelligenti, l’elettronica di consumo, i macchinari industriali, i dispositivi medici, gli smartphone ma anche prodotti più complessi, purché rispettino i requisiti del regolamento.
In estrema sintesi, il Capo II disciplina: gli obblighi di rendere accessibili all’utente i dati; i diritti e gli obblighi degli utenti e dei titolari; nonché gli obblighi dei terzi che ricevono i dati.
Ciò che si evince è che l’impianto del regolamento è strutturato in modo tale da promuovere da una parte la circolazione dei dati, favorendo così l’utente, ma garantendo in un certo modo anche la tutela del titolare dei dati sia limitando l’ambito di applicazione a determinati dati, sia attraverso la conservazione dei segreti commerciali dei titolari dei dati o dei detentori dei segreti commerciali.
Si concretizza, pertanto, una disciplina articolata che richiede di prestare attenzione a diversi aspetti sia lato titolari dei dati che lato utenti. In primo luogo, è necessario comprendere l’ambito di applicazione e, successivamente, identificare la portata dei diritti e degli obblighi, tenendo a mente che il Data Act si inserisce in un contesto normativo complesso che è costituito da diverse normative con cui lo stesso deve necessariamente dialogare (primo tra tutti il GDPR).
Capo VI: passaggio fra servizi di trattamento dei dati
Per quanto riguarda il Capo VI, relativo al “Passaggio tra servizi di trattamento dei dati”, già il considerando 78 del Data Act evidenzia che “la capacità dei clienti dei servizi di trattamento dei dati, compresi i servizi cloud ed edge, di passare da un servizio di trattamento dei dati a un altro, mantenendo nel contempo una funzionalità minima del servizio e senza tempi di inattività dei servizi, o di utilizzare simultaneamente i servizi di vari fornitori senza indebiti ostacoli e costi di trasferimento di dati, è una condizione fondamentale per un mercato più competitivo con minori barriere all’ingresso di nuovi fornitori di servizi di trattamento dei dati e per garantire ulteriore resilienza per gli utenti di tali servizi. I clienti che beneficiano di offerte gratuite dovrebbero beneficiare anche delle disposizioni in materia di passaggio stabilite nel presente regolamento, in modo che tali offerte non comportino situazioni di lock-in per i clienti.”.
E proprio la possibilità di superare il lock-in si pone come prerequisito per una maggiore circolazione dei dati. In questo senso la rubrica dell’art. 25 del regolamento è esplicativa “Eliminare gli ostacoli all’effettivo passaggio”. I fornitori di servizi di trattamento dei dati non devono solo evitare di imporre ma devono anche eliminare gli ostacoli pre-commerciali, commerciali, tecnici, contrattuali e organizzativi che impediscono il passaggio tra i servizi che rientrano nell’ambito di applicazione.
Capo VI: l’estensione dell’ambito di applicazione
Facendo ora un passo indietro, è opportuno capire, anche in relazione al Capo VI, l’estensione dell’ambito di applicazione. Sul punto, aiutano le Faq della Commissione europea che specificano che le norme del Capo VI si applicano ai fornitori di servizi di trattamento dei dati. (come definiti dall’art. 2, paragrafo 8, dello stesso Data Act). La definizione comprende i modelli di fornitura più diffusi come Infrastruttura come servizio (IaaS), Piattaforma come servizio (PaaS) e Software come servizio (SaaS).
Un punto centrale della disciplina del passaggio da un fornitore di servizi all’altro o, se del caso, a un’infrastruttura TIC locale, riguarda le clausole contrattuali (art. 25) che, come detto anche per le disposizioni relative alla messa a disposizione dei dati generati da prodotti connessi e servizi correlati, sembrano avere una connotazione favorevole al “cliente”, fatte salve comunque delle previsioni a tutela del fornitore di servizi di trattamento dei dati.
In questo contesto meritano attenzione anche le disposizioni relative all’interoperabilità (artt. 34 e 35) che mirano a facilitare da una parte l’uso in parallelo dei servizi di trattamento dei dati e dall’altra il passaggio da un servizio all’altro.
In conclusione, risulta evidente che le disposizioni del Data Act si pongono (dichiaratamente) in netto contrasto con le pratiche che hanno portato ad oggi al verificarsi del “vendor lock-in” in molte situazioni e mirano a una più facile ed equa circolazione dei dati, introducendo degli obblighi per i fornitori dei servizi.
Ora che è diventato applicabile il regolamento avremo la possibilità di osservare gli effetti che produrrà in concreto.
