Il 12 settembre 2025 segna una data storica per l’economia digitale europea: entra in piena applicazione il Data Act, il regolamento che ridefinisce le regole di accesso e utilizzo dei dati nell’Unione Europea. Come evidenziato dalle ricerche dell’Osservatorio Cybersecurity and Data Protection della School of Management del Politecnico di Milano, questa normativa rappresenta un cambio di paradigma che va ben oltre la semplice compliance, trasformando i dati da asset esclusivo a risorsa condivisa per l’innovazione.
Il Regolamento (UE) 2023/2854, meglio noto come Data Act, completa la strategia europea dei dati insieme al GDPR, al Data Governance Act e si inserisce nell’ecosistema normativo che include l’AI Act e il regolamento DORA, creando un framework integrato per la governance digitale del continente.
Il Data Act è il regolamento europeo che stabilisce norme armonizzate sull’accesso equo ai dati e sul loro utilizzo, entrato in vigore l’11 gennaio 2024 e diventato pienamente applicabile dal 12 settembre 2025. La normativa si concentra principalmente sui dati generati dall’Internet of Things (IoT) e dai prodotti connessi, rivoluzionando il modo in cui questi dati vengono gestiti e condivisi.
Per anni, una regola non scritta ha governato l’economia digitale: i dati generati dai dispositivi connessi che acquisti appartengono al produttore, non a te. Il Data Act europeo ribalta completamente questo paradigma, stabilendo che gli utenti hanno diritto di accedere ai dati generati dai loro dispositivi e di condividerli con terze parti di loro scelta.
Questo significa che se possiedi una Smart Car, una macchina industriale IoT o un elettrodomestico connesso, puoi richiedere al produttore di fornirti tutti i dati che il dispositivo genera sul tuo utilizzo. Non solo: puoi anche decidere di condividerli con altri fornitori di servizi per ottenere manutenzione, assistenza o servizi innovativi.
Il Data Act si inserisce in un ecosistema normativo complesso e interconnesso che definisce la governance digitale europea:
Questa convergenza normativa crea un Digital Single Market europeo dove dati, AI e servizi digitali operano secondo regole comuni e sicure.
Il Data Act ha un perimetro di applicazione estremamente ampio che tocca praticamente ogni settore dell’economia digitale. Il regolamento si applica a tutti i prodotti connessi e servizi correlati operanti nel mercato europeo, indipendentemente da dove sia localizzata l’azienda che li produce.
Rientrano nel campo di applicazione le automobili connesse che raccolgono dati di guida e manutenzione, i macchinari industriali smart che monitorano le prestazioni operative, gli elettrodomestici intelligenti che tracciano i consumi energetici, i dispositivi wearable per il fitness e la salute, i sistemi di building automation che gestiscono edifici, le apparecchiature mediche connesse per il monitoraggio paziente, i sensori ambientali e industriali per il controllo qualità. Include anche tutti i servizi correlati come piattaforme Cloud, sistemi di Data Analytics, servizi di manutenzione predittiva e assistenti virtuali che interagiscono con dispositivi connessi.
Questa lunga lista di beni e servizi incide anche sulla quantità di soggetti coinvolti che a loro volta sono formati da:
Le microimprese e piccole imprese beneficiano di esenzioni per ridurre l’onere compliance, mentre i dati altamente elaborati e protetti da segreti commerciali hanno limitazioni nella condivisione. L’applicazione extraterritoriale significa che anche aziende non europee devono conformarsi se operano nel mercato UE.
Il Data Act si articola in sei capitoli principali che definiscono un framework completo per l’accesso e l’utilizzo dei dati.
Il regolamento stabilisce che gli utenti di prodotti connessi hanno il diritto di accedere gratuitamente ai dati generati dai loro dispositivi. Questo include sia dati personali che non personali, purché siano in formato “grezzo” o “pre-elaborato” facilmente disponibile.
I produttori devono progettare i dispositivi in modo che consentano l’accesso sicuro e facile ai dati generati. Non possono più creare “scatole nere” dove i dati sono accessibili solo al produttore. Devono inoltre fornire informazioni chiare e trasparenti sui tipi di dati raccolti, le modalità di accesso e i diritti dell’utente.
Gli utenti possono richiedere che i loro dati vengano condivisi direttamente con terze parti di loro scelta. Questo apre nuove possibilità per servizi innovativi: un’azienda può far analizzare i dati della propria flotta di veicoli da un fornitore di analytics specializzato, oppure condividere i dati dei macchinari industriali con un service provider per manutenzione predittiva.
I destinatari dei dati devono utilizzarli solo per gli scopi concordati e non possono utilizzarli per sviluppare prodotti concorrenti o per addestrare modelli di AI che competano direttamente con il data holder originale.
Una delle disposizioni più impattanti del Data Act riguarda la portabilità tra fornitori cloud. Il regolamento introduce un percorso graduale per eliminare le barriere al cambio di fornitore:
Questo significa che aziende come Amazon AWS, Microsoft Azure e Google Cloud dovranno ripensare completamente i loro modelli di business, non potendo più fare affidamento sul lock-in tecnologico per trattenere i clienti.
Il Data Act introduce anche il diritto delle autorità pubbliche di richiedere accesso ai dati privati in situazioni di emergenza eccezionale come pandemie, disastri naturali o crisi di sicurezza pubblica.
Le richieste devono essere proporzionate, giustificate e limitate a quanto strettamente necessario per gestire l’emergenza. Questo potrebbe rivelarsi fondamentale per la gestione di future crisi, permettendo alle autorità di accedere a dati di mobilità, ambientali o logistici in tempo reale.
Il regolamento vieta clausole contrattuali sleali che impediscono l’accesso ai dati o creano squilibri tra le parti. Include una “black list” di clausole sempre considerate abusive e una “grey list” di clausole presumibilmente sleali.
Il Data Act introduce salvaguardie contro richieste illegittime di accesso ai dati da parte di autorità di paesi terzi. I fornitori di servizi Cloud devono implementare misure tecniche e legali per proteggere i dati europei da accessi non autorizzati da parte di governi extra-UE.
L’11 gennaio 2024 il Data Act è entrato formalmente in vigore, iniziando il periodo di preparazione per aziende e istituzioni. Il 12 settembre 2025 segna la piena applicabilità della maggior parte delle disposizioni, inclusi i diritti di accesso ai dati e i requisiti di trasparenza contrattuale.
Dal 12 settembre 2026 si applicheranno gli obblighi di design per nuovi prodotti connessi immessi sul mercato dopo questa data, mentre dal 12 settembre 2027 entrerà in vigore l’applicazione retroattiva delle regole sulle clausole contrattuali abusive anche ai contratti conclusi prima dell’entrata in vigore, se a tempo indeterminato o con scadenza superiore ai 10 anni.
Dal 12 settembre 2025, le aziende devono essere preparate a rispondere alle richieste di accesso ai dati entro tempi ragionevoli, fornire dati in formati machine-readable e utilizzabili, rispettare i nuovi standard contrattuali per la condivisione dati, implementare meccanismi di switching per servizi Cloud e designare processi chiari per le richieste di emergenza pubblica.
Le azioni prioritarie includono la mappatura completa di tutti i dati generati da prodotti connessi e servizi correlati, la revisione contrattuale per identificare clausole potenzialmente abusive, il setup tecnico di API e interfacce per l’accesso sicuro ai dati, e la formazione del personale su nuovi obblighi e opportunità.
Gli Stati membri devono notificare alla Commissione Europea i propri framework di enforcement e le sanzioni entro il 12 settembre 2025, designando autorità competenti con poteri di controllo e sanzionatori. Le sanzioni seguiranno il modello consolidato delle normative europee con avvertimenti, ordini di conformità e sanzioni pecuniarie proporzionate alla gravità della violazione.
Una delle confusioni più comuni riguarda il rapporto tra Data Act e GDPR. Sebbene entrambi regolino aspetti legati ai dati, hanno filosofie e obiettivi completamente diversi.
Il GDPR ha una natura principalmente difensiva: protegge i diritti fondamentali delle persone fisiche alla privacy e alla protezione dei dati personali. Stabilisce limiti, impone cautele, definisce cosa non si può fare. La logica del GDPR è person-centric: tutto ruota attorno alla protezione dell’individuo.
Il Data Act ha invece una natura proattiva ed economica: mira ad accelerare l’economia europea dei dati, sbloccare il potenziale industriale racchiuso nei dati generati da dispositivi connessi. La logica del Data Act è market-centric: tutto ruota attorno alla creazione di un mercato equo e competitivo.
I due regolamenti si integrano e si completano: il GDPR continua a applicarsi per tutti i dati personali anche quando condivisi sotto il Data Act, mentre il Data Act aggiunge nuovi diritti sui dati non personali e industriali. La protezione dei dati personali rimane sempre prioritaria nelle condivisioni previste dal Data Act.
Il Data Act rappresenta molto più di una semplice normativa: è il catalizzatore di una trasformazione profonda dell’economia digitale europea. La convergenza con AI Act, GDPR e regolamento DORA crea un ecosistema normativo integrato che ridefinisce le regole del gioco globale.
Per i produttori IoT, sarà necessario abbandonare i modelli di business basati sul controllo esclusivo dei dati e sviluppare strategie incentrate su servizi e partnership aperte. I Cloud provider dovranno competere su qualità e innovazione invece che sul lock-in tecnologico, mentre startup e PMI avranno accesso a dati precedentemente inaccessibili, livellando il campo di gioco competitivo.
Il regolamento creerà nuovi mercati – dai data marketplace specializzati ai servizi di analytics as-a-service – e posizionerà l’Europa come leader globale nella governance dei dati. Le aziende che sapranno trasformare gli obblighi di compliance in opportunità strategiche costruiranno i vantaggi competitivi dell’economia digitale del futuro.
Contenuti suggeriti dell’Osservatorio Cybersecurity & Data Protection
