La data di efficacia del Data Act si avvicina rapidamente: il 12 settembre 2025 entreranno finalmente in vigore la maggior parte delle disposizioni del Regolamento (UE) 2023/2854, meglio noto come Data Act.
Per molte aziende, non si tratta solo di un’altra normativa da rispettare. Si tratta di una svolta epocale per l’economia dei dati europea, che ridefinisce il modo in cui le organizzazioni raccolgono, accedono, condividono e trattano i dati.
L’ambizione del Data Act è quella di creare un vero e proprio mercato unico dei dati, in cui l’accesso e la condivisione siano semplici, sicuri e trasparenti. Ma per le aziende, in particolare quelle attive nell’IoT e nei servizi digitali, ciò comporta nuovi obblighi concreti e, in alcuni casi, profondi cambiamenti nei loro modelli commerciali.
Cosa cambierà esattamente quando il Data Act entrerà in vigore? Diamo un’occhiata agli obblighi principali. Di seguito è riportata un’infografica sull’argomento e un articolo che affronta le principali criticità:
Obblighi principali per il settore IoT
Il capitolo II del Data Act si concentra sui prodotti connessi e sui servizi correlati. Basti pensare alle auto intelligenti, ai dispositivi indossabili, agli elettrodomestici connessi e agli strumenti IoT industriali. A partire da settembre 2025, i fabbricanti, i venditori, i locatori e i fornitori di servizi dovranno rispettare nuove regole in materia di trasparenza e accesso.
Gli obblighi principali includono:
- Informazioni precontrattuali: prima della firma, i clienti devono essere chiaramente informati sul tipo, il formato e il volume dei dati generati dal prodotto o dal servizio.
- Accesso ai dati: gli utenti avranno il diritto di richiedere l’accesso gratuito, sicuro e in tempo reale ai dati generati dai loro dispositivi connessi, in un formato strutturato e leggibile da dispositivo automatico.
- Condivisione dei dati con terzi: su richiesta dell’utente, i dati devono essere condivisi con una terza parte designata dal cliente a condizioni eque, ragionevoli e non discriminatorie.
- Accessibilità fin dalla progettazione: i prodotti e i servizi dovrebbero, ove tecnicamente possibile, essere progettati in modo da consentire agli utenti l’accesso diretto ai dati da essi generati.
Questo quadro normativo ha lo scopo di responsabilizzare gli utenti, garantendo al contempo che le imprese mantengano un’adeguata protezione dei segreti commerciali, della proprietà intellettuale e dei dati personali.
Obblighi fondamentali per i fornitori di servizi di elaborazione dei dati
La data di entrata in vigore del Data Act rappresenta una pietra miliare anche per i fornitori di servizi cloud, SaaS, PaaS e IaaS. Il Regolamento affronta direttamente il problema del vendor lock-in, imponendo ai fornitori di facilitare il passaggio dei clienti da un servizio all’altro.
A partire da settembre 2025, i fornitori dovranno:
- Eliminare le barriere tecniche, contrattuali e commerciali che rendono difficile per i clienti passare a un concorrente.
- Garantire che i clienti possano recedere dai contratti con un preavviso minimo e trasferire i propri dati e risorse digitali altrove.
- Garantire l’equivalenza funzionale durante la migrazione dei servizi verso un altro fornitore.
- Consentire la disaggregazione dei servizi, ove tecnicamente fattibile.
Oltre a questi requisiti, i contratti devono includere clausole specifiche sulla portabilità e la cooperazione (articolo 25) e i fornitori devono attuare misure tecniche per garantire l’interoperabilità tra diversi servizi cloud (articolo 30).
Ciò richiederà non solo nuova documentazione legale, ma anche una ristrutturazione tecnica e operativa per molti fornitori.
Incertezze e prossimi passi
Sebbene la data di entrata in vigore del Data Act sia stata fissata, permangono molte incertezze. La Commissione Europea deve ancora pubblicare gli atti di esecuzione e gli Stati membri, tra cui l’Italia, devono definire i propri quadri normativi nazionali, comprese le norme sulle sanzioni.
Le aziende si trovano quindi ad affrontare una doppia sfida: prepararsi agli obblighi già definiti, rimanendo tuttavia flessibili per adattarsi a futuri chiarimenti e orientamenti. L’assenza di sanzioni armonizzate in tutta l’UE solleva anche interrogativi sulle potenziali divergenze nell’applicazione.
Perché le aziende non possono permettersi di aspettare
Il conto alla rovescia per il 12 settembre 2025 è già iniziato. Le organizzazioni che rientrano nell’ambito di applicazione del Data Act, sia nel settore dell’IoT che in quello dei servizi digitali, non dovrebbero sottovalutare la portata dei cambiamenti richiesti.
Le misure pratiche da adottare ora includono:
- Mappare i flussi di dati generati dai prodotti e servizi connessi.
- Rivedere i contratti con clienti e partner per garantire la conformità ai requisiti di trasparenza e portabilità.
- Testare l’interoperabilità e la portabilità per ridurre le barriere al passaggio da un servizio all’altro.
- Monitorare gli aggiornamenti normativi, sia a livello UE che nazionale, per adattare le roadmap di conformità man mano che emergono nuove linee guida.
La data di entrata in vigore del Data Act non solo metterà alla prova la conformità normativa, ma separerà anche coloro che vedono i dati come un onere di conformità da coloro che li considerano un’opportunità strategica. Le aziende più lungimiranti utilizzeranno il Data Act per differenziarsi in termini di fiducia, trasparenza e empowerment dei clienti.
Considerazioni finali
Settembre 2025 è più vicino di quanto sembri e la data di entrata in vigore del Data Act ridisegnerà l’economia digitale europea. Sebbene permangano delle incertezze, la direzione è chiara: le organizzazioni devono essere pronte a fornire accesso, garantire la portabilità e ridurre gli ostacoli all’utilizzo dei dati.
La vera domanda è: la vostra azienda si limiterà a conformarsi o coglierà l’occasione per innovare e diventare leader nel nuovo mercato europeo dei dati?
Se vuoi saperne di più sul Data Act può essere interessate il webinar Webinar – Data Act: Cosa Sapere da un punto di vista Legale e Tecnico
