Questo articolo, a cura dell’Osservatorio Cybersecurity & Data Protection, analizza cos’è il Data Act, a chi si applica, quali sono i suoi pilastri fondamentali, le scadenze da rispettare e le sanzioni previste per chi non si adegua.
Il Data Act, o Regolamento (UE) 2023/2854, stabilisce norme armonizzate sull’accesso equo ai dati e sul loro utilizzo, entrato in vigore l’11 gennaio 2024 e diventato pienamente applicabile dal 12 settembre 2025. La normativa si concentra principalmente sui dati generati dall’Internet of Things (IoT) e dai prodotti connessi, rivoluzionando il modo in cui questi dati vengono gestiti e condivisi.
Per anni, una regola non scritta ha governato l’economia digitale: i dati generati dai dispositivi connessi appartengono al produttore, non all’utente. Il Data Act europeo ribalta completamente questo paradigma. Stabilisce infatti che gli utenti hanno diritto di accedere ai dati generati dai loro dispositivi e di condividerli con terze parti di loro scelta.
Questo significa che se si possiede una Smart Car, una macchina industriale IoT o un elettrodomestico connesso, è possibile richiedere al produttore di fornire tutti i dati che il dispositivo genera sul proprio utilizzo. Non solo: si può anche decidere di condividerli con altri fornitori di servizi per ottenere manutenzione, assistenza o servizi innovativi.
Il Data Act si inserisce in un ecosistema normativo complesso e interconnesso che definisce la governance digitale europea:
Questa convergenza normativa crea un Digital Single Market europeo dove dati, AI e servizi digitali operano secondo regole comuni e sicure. Il suo impatto è già misurabile: tra NIS2, Cyber Resilience Act, AI Act e Data Act, il 56% delle grandi imprese italiane sta cercando sinergie per una gestione più efficiente della complessità normativa, secondo la ricerca dell’Osservatorio Cybersecurity & Data Protection.
Come sottolinea Gabriele Faggioli, Responsabile Scientifico dell’Osservatorio, “Nel corso del 2025, che ha rappresentato un vero punto di rottura nelle relazioni geopolitiche, nel progresso tecnologico e nell’evoluzione normativa, le minacce per la cybersecurity sono diventate sempre più sofisticate e complesse da gestire. […] Le istituzioni stanno correndo ai ripari per una cyber-resilienza diffusa, ma si evidenzia il rischio di una frammentazione normativa: è fondamentale costituire un quadro univoco senza ridondanze burocratiche per evitare che la cybersecurity diventi un mero esercizio di adempimento.”
Il Data Act ha un perimetro di applicazione estremamente ampio che tocca praticamente ogni settore dell’economia digitale. Il regolamento si applica a tutti i prodotti connessi e servizi correlati operanti nel mercato europeo, indipendentemente da dove sia localizzata l’azienda produttrice.
Rientrano nel campo di applicazione le seguenti categorie di prodotti e servizi:
Il regolamento individua quattro categorie di soggetti:
Le microimprese e piccole imprese beneficiano di esenzioni per ridurre l’onere di compliance. I dati altamente elaborati e protetti da segreti commerciali hanno limitazioni nella condivisione. L’applicazione è extraterritoriale: significa che anche aziende non europee devono conformarsi se operano nel mercato UE.
Il Data Act si articola in sei capitoli principali che definiscono un framework completo per l’accesso e l’utilizzo dei dati.
Il regolamento stabilisce che gli utenti di prodotti connessi hanno il diritto di accedere gratuitamente ai dati generati dai loro dispositivi. Questo include sia dati personali che non personali, purché siano in formato “grezzo” o “pre-elaborato” facilmente disponibile.
I produttori devono progettare i dispositivi in modo che consentano l’accesso sicuro e facile ai dati generati. Non possono più creare sistemi chiusi dove i dati sono accessibili solo al produttore. Devono inoltre fornire informazioni chiare e trasparenti sui tipi di dati raccolti, le modalità di accesso e i diritti dell’utente.
Gli utenti possono richiedere che i loro dati vengano condivisi direttamente con terze parti di loro scelta. Questo apre nuove possibilità per servizi innovativi: un’azienda può far analizzare i dati della propria flotta di veicoli da un fornitore di analytics specializzato, oppure condividere i dati dei macchinari industriali con un service provider per manutenzione predittiva.
I destinatari dei dati devono utilizzarli solo per gli scopi concordati e non possono utilizzarli per sviluppare prodotti concorrenti o per addestrare modelli di AI che competano direttamente con il data holder originale.
Una delle disposizioni più impattanti del Data Act riguarda la portabilità tra fornitori cloud. Il regolamento introduce un percorso graduale per eliminare le barriere al cambio di fornitore:
Questo significa che aziende come Amazon AWS, Microsoft Azure e Google Cloud devono ripensare completamente i loro modelli di business, non potendo più fare affidamento sul lock-in tecnologico per trattenere i clienti.
Il Data Act introduce anche il diritto delle autorità pubbliche di richiedere accesso ai dati privati in situazioni di emergenza eccezionale come pandemie, disastri naturali o crisi di sicurezza pubblica.
Le richieste devono essere proporzionate, giustificate e limitate a quanto strettamente necessario per gestire l’emergenza. Questo potrebbe rivelarsi fondamentale per la gestione di future crisi, permettendo alle autorità di accedere a dati di mobilità, ambientali o logistici in tempo reale.
Il regolamento vieta clausole contrattuali sleali che impediscono l’accesso ai dati o creano squilibri tra le parti. Include una “black list” di clausole sempre considerate abusive e una “grey list” di clausole presumibilmente sleali.
Il Data Act introduce salvaguardie contro richieste illegittime di accesso ai dati da parte di autorità di paesi terzi. I fornitori di servizi Cloud devono implementare misure tecniche e legali per proteggere i dati europei da accessi non autorizzati da parte di governi extra-UE.
L’11 gennaio 2024 il Data Act è entrato formalmente in vigore, iniziando il periodo di preparazione per aziende e istituzioni. Il 12 settembre 2025 segna la piena applicabilità della maggior parte delle disposizioni, inclusi i diritti di accesso ai dati e i requisiti di trasparenza contrattuale.
Dal 12 settembre 2026 è previsto l’obbligo di design per nuovi prodotti connessi immessi sul mercato dopo questa data, mentre dal 12 settembre 2027 entrerà in vigore l’applicazione retroattiva delle regole sulle clausole contrattuali abusive anche ai contratti conclusi prima dell’entrata in vigore, se a tempo indeterminato o con scadenza superiore ai dieci anni.
Dal 12 settembre 2025, le aziende devono essere preparate a rispondere alle richieste di accesso ai dati entro tempi ragionevoli, fornire dati in formati machine-readable e utilizzabili, rispettare i nuovi standard contrattuali per la condivisione dati, implementare meccanismi di switching per servizi Cloud e designare processi chiari per le richieste di emergenza pubblica.
Le azioni prioritarie includono:
Il Data Act non definisce direttamente l’importo delle sanzioni, demandando agli Stati membri il compito di stabilire le misure sanzionatorie nazionali. Gli Stati membri hanno notificato alla Commissione Europea i propri framework di enforcement e le sanzioni entro il 12 settembre 2025, designando autorità competenti con poteri di controllo e sanzionatori.
Le sanzioni devono essere efficaci, proporzionate e dissuasive. Gli strumenti a disposizione delle autorità competenti includono:
Le autorità possono intervenire sia su segnalazione degli utenti che d’ufficio. Le aziende non europee che operano nel mercato UE sono soggette alle stesse regole e alle stesse sanzioni, in virtù dell’applicazione extraterritoriale del regolamento.
Una delle confusioni più comuni riguarda il rapporto tra Data Act e GDPR. Sebbene entrambi regolino aspetti legati ai dati, hanno filosofie e obiettivi completamente diversi.
Il GDPR ha una natura principalmente difensiva: protegge i diritti fondamentali delle persone fisiche alla privacy e alla protezione dei dati personali. Stabilisce limiti, impone cautele, definisce cosa non si può fare. La logica del GDPR è person-centric: tutto ruota attorno alla protezione dell’individuo.
Il Data Act ha invece una natura proattiva ed economica: mira ad accelerare l’economia europea dei dati, sbloccare il potenziale industriale racchiuso nei dati generati da dispositivi connessi. La logica del Data Act è market-centric: tutto ruota attorno alla creazione di un mercato equo e competitivo.
I due regolamenti si integrano e si completano: il GDPR continua a applicarsi per tutti i dati personali anche quando condivisi sotto il Data Act, mentre il Data Act aggiunge nuovi diritti sui dati non personali e industriali. La protezione dei dati personali rimane sempre prioritaria nelle condivisioni previste dal Data Act.
Il Data Act rappresenta molto più di una semplice normativa: è il catalizzatore di una trasformazione profonda dell’economia digitale europea. La convergenza con AI Act, GDPR e regolamento DORA crea un ecosistema normativo integrato che ridefinisce le regole del gioco globale.
Per i produttori IoT è necessario abbandonare i modelli di business basati sul controllo esclusivo dei dati e sviluppare strategie incentrate su servizi e partnership aperte. I Cloud provider devono competere su qualità e innovazione invece che sul lock-in tecnologico. Startup e PMI hanno invece accesso a dati precedentemente inaccessibili, potendo così sviluppare soluzioni avanzate che prima erano bloccate nei sistemi chiusi dei grandi produttori.
In questo modo, il regolamento crea nuovi mercati – dai data marketplace specializzati ai servizi di analytics as-a-service – e pone le premesse per posizionare l’Europa come leader globale nella governance dei dati. Le aziende che sapranno trasformare gli obblighi di compliance in opportunità strategiche costruiranno i vantaggi competitivi dell’economia digitale del futuro.
Contenuti suggeriti dell’Osservatorio Cybersecurity & Data Protection
