Ogni giorno milioni di dispositivi connessi – dalle automobili intelligenti agli elettrodomestici smart, dai sensori industriali fino ai software di gestione – generano enormi quantità di informazioni. La domanda che da tempo si pongono imprese, pubbliche amministrazioni e cittadini è: chi possiede davvero questi dati e chi ha il diritto di utilizzarli?

Con l’entrata in vigore del Regolamento (UE) 2023/2854, meglio noto come European Data Act, a partire dal 12 settembre 2025, l’UE ha tracciato una linea netta. L’obiettivo è duplice: da un lato garantire maggiore trasparenza e accesso equo ai dati, dall’altro stimolare l’innovazione e lo sviluppo di un vero mercato europeo dei dati.

Oltre al GDPR e ai Data Protection Act nazionali, il Data Act si inserisce come nuova cornice europea pensata non solo per proteggere, ma anche per valorizzare i dati.

Regole e obblighi del Data Act

Il Data Act interviene per ridurre gli squilibri di potere nell’economia dei dati, definendo sia i principi generali che le regole pratiche a cui imprese e fornitori di servizi dovranno adeguarsi.

La normativa stabilisce diritti chiari per gli utenti e obblighi concreti per chi produce o gestisce dispositivi e servizi digitali.

Gli elementi principali includono:

  1. diritto di accesso immediato e sicuro ai dati: gli utenti devono poter ottenere i dati generati dai dispositivi che utilizzano, in tempo reale, gratuitamente e in un formato leggibile da macchina, senza condizioni contrattuali penalizzanti;
  2. condivisione con terze parti: su richiesta del cliente, i dati devono essere messi a disposizione di partner o fornitori designati, a condizioni eque e non discriminatorie;
  3. trasparenza precontrattuale: prima dell’acquisto o della sottoscrizione, i clienti devono essere informati su tipologia, volume e formato dei dati generati;
  4. portabilità nel cloud: i fornitori di servizi digitali devono rimuovere vincoli tecnici e contrattuali che ostacolano la migrazione tra provider, con un calendario che porterà all’abolizione completa delle “switching fees” entro il 2027;
  5. tutela dei segreti commerciali: le imprese non sono obbligate a condividere elaborazioni, inferenze o algoritmi derivati dai dati grezzi, così da proteggere i propri investimenti in ricerca e sviluppo;
  6. accessibilità by design: i prodotti e i servizi dovranno essere progettati fin dall’origine per garantire un accesso diretto e semplice ai dati da parte degli utenti. Questa disposizione segue una progressione temporale ben definita per consentire alle imprese di adattarsi:
  • dal 12 settembre 2025: gli utenti acquisiscono il diritto di richiedere i dati generati dai dispositivi già in commercio, anche se venduti in passato;
  • dal 12 settembre 2026: i nuovi prodotti dovranno rispettare il principio didata access by design, con funzionalità integrate che consentano l’accesso immediato ai dati senza procedure complesse.

In questo modo il regolamento accompagna le imprese in due fasi distinte: una prima fase di adattamento dei sistemi esistenti e una successiva di ripensamento strutturale dei prodotti e dei servizi.

Il ruolo del cloud e dei servizi digitali

Uno degli aspetti più innovativi riguarda il cloud computing. Molte imprese si sono ritrovate intrappolate in sistemi chiusi, con switching fees elevate e incompatibilità tecniche che impedivano il passaggio a un nuovo fornitore.

Il Data Act stabilisce un percorso graduale:

  • dal 12/09/2025: obbligo di massima trasparenza sui costi di migrazione;
  • dal 12/01/2026: riduzione delle tariffe applicabili al trasferimento dei dati verso un altro provider;
  • dal 12/01/2027: abolizione totale dei costi di uscita. Potranno essere addebitati al cliente solamente i costi sostenuti per il processo di migrazione.

Questa rivoluzione darà alle aziende la possibilità di adottare strategie multi-cloud, scegliendo i fornitori sulla base della qualità dei servizi e non della difficoltà di migrare.

Relazioni con la pubblica amministrazione

Un aspetto meno discusso ma di grande rilievo riguarda il rapporto con le autorità pubbliche. Il Data Act prevede che, in situazioni di emergenza – come catastrofi naturali, pandemie o crisi energetiche – le amministrazioni possano richiedere accesso a dati detenuti da imprese private, qualora non siano disponibili per altri canali.

In assenza di emergenze, l’accesso potrà comunque essere richiesto per motivi di interesse pubblico eccezionale, seguendo procedure specifiche. In pratica, le aziende dovranno predisporre canali sicuri e tracciabili per la trasmissione dei dati, mantenendo documentazione delle richieste ricevute e fornendo le informazioni nei tempi stabiliti.

Questo introduce un nuovo modello di collaborazione pubblico-privata: i dati diventano un bene comune digitale, da utilizzare in circostanze critiche a vantaggio dell’intera collettività.

Data Act e GDPR: due normative complementari

Uno dei dubbi più frequenti riguarda il legame tra Data Act GDPR. In realtà non si tratta di normative alternative o concorrenti, ma di strumenti con finalità diverse e complementari.

Il GDPR ha come obiettivo principale la tutela dei diritti fondamentali delle persone e disciplina il trattamento dei dati personali. Impone limiti, cautele e condizioni precise per proteggere la privacy degli individui.

Il Data Act, invece, guarda ai dati come risorsa economica e competitiva. Definisce chi ha diritto di accedere e utilizzare i dati generati dai prodotti connessi e dai servizi digitali, con l’obiettivo di stimolare la concorrenza e favorire la nascita di nuovi modelli di business.

Un esempio concreto è quello di un’automobile connessa: i dati diagnostici e di utilizzo possono includere sia informazioni personali (GPS, stile di guida) sia dati tecnici. Con il Data Act, il proprietario del veicolo ha diritto a richiedere tali dati per condividerli con una terza parte, come un’officina indipendente. Tuttavia, quando nel dataset sono presenti dati personali, resta necessario rispettare le disposizioni del GDPR, che continuano a valere come cornice di protezione dei diritti individuali.

Opportunità per le PMI

Il Data Act non è pensato solo per i colossi tecnologici, ma mira soprattutto a livellare il campo di gioco per le PMI, che finora si sono spesso trovate in posizione di debolezza.

Per questo motivo il regolamento introduce una serie di strumenti specifici a tutela di queste realtà:

  • protezione contrattuale: clausole abusive inerenti l’accesso e l’uso dei dati, imposte unilateralmente dai grandi player, potranno essere dichiarate nulle;
  • accesso equo ai dati: le PMI potranno ottenere dati generati dai dispositivi senza dover pagare compensi sproporzionati. Il costo massimo sarà limitato alle spese dirette sostenute dal produttore;
  • nuovi modelli di business: officine indipendenti, startup tecnologiche o aziende di servizi potranno accedere ai dati per offrire manutenzione predittiva, servizi di ottimizzazione energetica o applicazioni innovative.

Questo apre nuove opportunità soprattutto per le PMI. Per esempio, un’officina meccanica indipendente potrà accedere ai dati diagnostici di un trattore smart, oppure una startup di ottimizzazione energetica potrà analizzare i dati di consumo di un termostato connesso, offrendo servizi a valore aggiunto che prima erano monopolio del produttore originale.

Implicazioni pratiche e incertezze

Con l’applicazione ormai avviata del Data Act, le imprese si trovano a dover affrontare diverse sfide operative.

Le priorità includono:

  • mappare i flussi di dati generati dai prodotti e dai servizi connessi;
  • rivedere i contratti con clienti e partner per garantire trasparenza e rispetto delle nuove regole;
  • testare l’interoperabilità e la portabilità dei sistemi, per ridurre le barriere tecniche al passaggio da un fornitore a un altro;
  • monitorare costantemente l’evoluzione normativa e i futuri atti di esecuzione che la Commissione Europea dovrà emanare.

Restano comunque delle aree di incertezza, legate sia all’interpretazione pratica delle disposizioni sia alle modalità con cui i diversi Stati membri armonizzeranno la normativa. Le imprese dovranno quindi mantenere un approccio flessibile, per adeguarsi a ulteriori chiarimenti.

Il Data Act come leva di opportunità

Guardare al Data Act solo come a un obbligo normativo sarebbe un errore. La vera sfida per le aziende sarà trasformarlo in un’opportunità.

Chi saprà integrare i principi di accessibilità, portabilità e condivisione sicura dei dati potrà:

  • sviluppare nuovi servizi a valore aggiunto, come piattaforme di analisi predittiva o applicazioni personalizzate;
  • rafforzare la fiducia dei clienti, distinguendosi per trasparenza e affidabilità;
  • costruire ecosistemi collaborativi con startup, centri di ricerca e partner tecnologici.

Il Data Act segna il passaggio da un modello chiuso e proprietario a un ecosistema più aperto e competitivo. Per le imprese più lungimiranti, rappresenta un’occasione di crescita e innovazione senza precedenti.

FAQ – Guida al Data Act

1. Cos’è il Data Act?

È il regolamento europeo che disciplina accesso, utilizzo e condivisione dei dati generati da dispositivi e servizi digitali.

2Quali obblighi impone il Data Act alle imprese?

​Le aziende devono garantire accesso sicuro ai dati per gli utenti, possibilità di condivisione con terze parti, trasparenza contrattuale, portabilità nel cloud e progettare prodotti con accesso ai dati “by design”.​

3. Come si differenzia dal GDPR?

Il GDPR tutela la privacy dei dati personali, mentre il Data Act valorizza i dati come risorsa economica e favorisce la concorrenza.

4. Cosa cambia per il cloud e la portabilità dei dati?

Dal 2025 al 2027 si elimina gradualmente ogni costo e vincolo tecnico per migrare dati tra fornitori cloud.

5. Quali opportunità offre alle PMI?

Consente accesso equo ai dati, nuove possibilità di business e tutela da clausole contrattuali abusive imposte dai grandi player.