L’era della sovranità digitale: il Data Act e la nuova frontiera della portabilità dei dati nel mercato unico europeo

Compliance - Data Protection - Digital Transformation

Anna Perut
Avvocato, si occupa di protezione dei dati personali sia in veste di consulente sia di Data Protection Officer (DPO) per società di capitali private, enti del terzo settore, società a controllo pubblico ed enti locali. Referente territoriale per il Triveneto in ANORC Professioni.

Abstract

Il Regolamento (UE) 2023/2854, meglio noto come Data Act, costituisce un quadro normativo concepito per migliorare l’economia dei dati dell’UE e promuovere un mercato dei dati competitivo, fornendo chiarezza giuridica per quanto riguarda l’accesso ai dati e il loro utilizzo. L’aumento esponenziale dei prodotti connessi a Internet a cui stiamo assistendo nel corso degli anni ha determinato l’incremento del volume di dati disponibili per il riutilizzo, dati che costituiscono un enorme potenziale per l’innovazione e la competitività nell’UE. Diritto di accesso, portabilità e misure volte ad abbattere il vendor lock-in costituiscono i tre pilastri fondamentali del Regolamento, finalizzati a riequilibrare i rapporti di forza nell’economia dei dati. La vera sfida per gli operatori del settore sarà quella di declinare questi aspetti da un punto di vista tecnico, giuridico e contrattuale per garantire l’effettività di questi diritti.

Introduzione al Data Act

Il Regolamento (UE) 2023/2854 (Regolamento sui dati o Data Act) contempla un quadro normativo armonizzato volto a favorire la circolazione dei dati generati dai dispositivi connessi (dispositivi IoT – Internet of Things) e dai servizi correlati, sia in ambito aziendale, quali ad esempio macchinari industriali, software interconnessi, sia in ambito civile, come elettrodomestici e veicoli, nonché dei servizi di trattamento dati (i servizi cloud), in modo da garantire un accesso equo ai dati e al loro utilizzo.

La normativa nasce per rispondere alle necessità dell’economia digitale e per eliminare gli ostacoli al buon funzionamento del mercato interno dei dati.

La condivisione dei dati era infatti resa difficile, se non impossibile, a causa di una serie di fattori di origine tecnica e contrattuale. La progettazione dei dispositivi come delle “scatole chiuse”, accessibili solo al fabbricante delle macchine, l’assenza di regole sulla interoperabilità dei dati, lo squilibrio contrattuale tra contraenti e la presenza di tariffe di passaggio esorbitanti costituivano solo alcuni degli ostacoli che fino all’avvento del Data Act avevano di fatto paralizzato la circolazione dei dati.

Da un punto di vista pratico, questo poteva comportare molteplici impatti a seconda del diverso scenario, dalla vita quotidiana al campo industriale. Pensiamo, ad esempio, al caso di una lavatrice connessa che segnali un guasto. Prima dell’avvento del Data Act, il produttore dell’elettrodomestico poteva blindare i dati diagnostici, rendendo impossibile ad un riparatore locale di accedere ai dati per capire l’entità del guasto senza l’utilizzo di strumenti proprietari, costringendo così l’utente a rivolgersi necessariamente all’assistenza ufficiale. Ancora, si pensi ad un’azienda che disponesse di una flotta di veicoli elettrici e volesse accedere ai dati di consumo delle batterie per ottimizzare i percorsi e i tempi di ricarica. Anche in questo caso, prima della nuova normativa il produttore dei mezzi generalmente metteva a disposizione i dati delle batterie solo tramite servizi a pagamento aggiuntivi, con aggravio di oneri per l’azienda.

Il Data Act mira a superare questi ostacoli, con l’obiettivo di passare da un’economia di esclusività, per la quale i dati erano considerati del produttore del dispositivo perché li aveva raccolti, a un’economia di disponibilità, ove i dati sono di chi li genera usufruendo del prodotto connesso.

Questo cambio di prospettiva si declina su fronti diversi. Gli effetti principali del Regolamento, di immediata percezione da parte dell’utente, si possono riassumere in tre direttive: obbligo dei produttori di permettere l’accesso all’utente ai dati del prodotto connesso o del servizio correlato in modo facile, sicuro e gratuito; diritto dell’utente di condividere i dati dei prodotti connessi con terzi (tipicamente fornitori di servizi esterni, servizi di riparazione, ecc.); nell’ambito dei servizi cloud, facilitazione nel passaggio da un fornitore all’altro.

Campo di applicazione

Il Data Act si muove su due filoni: dati generati dall’uso di prodotti connessi e servizi correlati e dati relativi ai servizi di trattamento dati (tipicamente i servizi cloud declinati nei modelli comunemente noti come IaaS, PaaS e SaaS).

Da un punto di vista territoriale, il Regolamento pone l’attenzione al luogo ove si trova l’utente o il prodotto, a prescindere dal luogo della sede del fabbricante, applicandosi, infatti, ai fabbricanti di prodotti connessi e ai fornitori di servizi correlati che immettono i loro prodotti o servizi sul mercato dell’Unione, agli utenti dell’Unione di prodotti connessi e ai fornitori di servizi cloud che forniscono i loro servizi a utenti stabiliti nell’UE. Non importa, quindi, se il produttore o fornitore di servizi sia un’azienda asiatica o un colosso americano: se vendono i loro beni/servizi in Unione Europea, devono rispettare il Data Act.

Rapporti tra Data Act e GDPR

Il Data Act si applica sia ai dati personali che a quelli non personali, integrando il Regolamento UE 679/16 e rafforzandolo su alcuni aspetti, ad esempio in tema di diritto alla portabilità e all’accessibilità ai dati in tempo reale nei dispositivi IoT. La tutela del dato personale, tuttavia, prevale sempre. In questo il Data Act è molto chiaro, laddove afferma in più punti che la sua applicazione lascia impregiudicato il GDPR e che in caso di conflitto, prevale il diritto alla protezione dei dati.

Rispetto al GDPR, il Data Act estende le tutele previste anche alle persone giuridiche e non solo alle persone fisiche, trovando applicazione nei confronti di aziende e consumatori che siano proprietari del prodotto connesso o titolari di altri diritti, o clienti di un servizio cloud.

I prodotti connessi e i servizi correlati

Il Data Act parte dal presupposto che i prodotti connessi generano e raccolgono, mediante i loro componenti e sistemi operativi, dati relativi alle loro prestazioni, al loro utilizzo e ambiente, rappresentando la digitalizzazione delle azioni e degli eventi degli utenti. Per questi motivi, i dati devono essere accessibili all’utente e trasferibili a terzi.

Da questa premessa derivano due obblighi fondamentali per i produttori: accessibilità ai dati by default e trasparenza contrattuale.

Sotto il primo profilo, il Regolamento afferma chiaramente che i prodotti e i servizi correlati (ad esempio un’applicazione connessa al prodotto necessaria per il suo funzionamento) devono essere progettati in modo tale che i dati generati, compresi i metadati, siano, per impostazione predefinita, accessibili all’utente in modo facile, sicuro, gratuito, in un formato completo, strutturato, di uso comune. L’accessibilità può essere diretta o indiretta. L’accesso diretto, che costituisce l’opzione preferibile, ove tecnicamente possibile, permette all’utente di accedere e scaricare i dati in autonomia tramite un’interfaccia del dispositivo, senza dover chiedere il supporto al titolare dei dati. Nell’accesso indiretto, invece, l’utente deve necessariamente rivolgersi al titolare dei dati. Sebbene la normativa consideri l’accesso diretto come opzione prioritaria, questo non vuol dire che i produttori siano obbligati a questa soluzione. Rientra, infatti, nella discrezionalità dei fabbricanti valutarne la fattibilità tecnica, i costi potenziali, le conseguenze in termini di sicurezza e tutela della proprietà intellettuale.

Si precisa che la definizione di “titolare dei dati” del Data Act non ha nulla a che vedere con il concetto di titolare del trattamento ai sensi del GDPR, riferendosi alla persona fisica o giuridica che ha il diritto o l’obbligo di utilizzare e mettere a disposizione i dati del prodotto o del servizio correlato. Sebbene il titolare dei dati coincida tipicamente con il fabbricante, possono esserci, a seconda del contesto, ruoli diversi. Ad esempio, il fabbricante potrebbe esternalizzare a terzi il ruolo di titolare dei dati, non essendoci un espresso divieto normativo, o ancora, il titolare potrebbe essere il fornitore di un servizio correlato al prodotto. La titolarità del dato spetta quindi a chi ha il controllo tecnico e legale sui dati, a prescindere dalla produzione del software e dell’hardware.

Il Data Act pone particolare attenzione al concetto di dati, riferendosi ai dati generati dall’uso di un prodotto connesso, intesi come dati registrati intenzionalmente o che derivano indirettamente dall’azione dell’utente, come i dati relativi all’ambiente o alle interazioni del prodotto connesso, inclusi i dati grezzi o pretrattati e i metadati, utili per comprendere il contesto (es. l’ora, il luogo). Sono esclusi, invece, i dati arricchiti, che consistono nelle informazioni generate da elaborazioni di algoritmi, creati dal produttore e frutto del lavoro e della ricerca dei reparti di ricerca e sviluppo. Ad esempio, se consideriamo un termostato intelligente, sono dati grezzi, che devono essere messi a disposizione dell’utente, quelli relativi alla temperatura rilevata in una stanza (es. temperatura, tasso di umidità, ecc.). Sono dati arricchiti i profili di efficienza energetica predittivi o una diagnosi di guasto imminente (es. un grafico che dimostri come la casa disperda calore rispetto ad una abitazione media), che il produttore non è obbligato a condividere.

Accanto ai requisiti di progettazione, il Data Act introduce precisi obblighi contrattuali fondamentali per rendere l’accessibilità un diritto effettivo, non solo sulla carta.

L’utente, infatti, ha il diritto di ricevere, prima della conclusione del contratto di acquisito, locazione o noleggio, chiare informazioni sulla tipologia, formato e volume stimato di dati che il prodotto può generare; deve sapere se il prodotto è in grado di generare dati in modo continuo o in tempo reale, se i dati vengono conservati sul dispositivo o su un server remoto e le modalità di accesso ai dati e di cancellazione. Analoghe ed ulteriori informazioni devono essere rese dal fornitore di un servizio correlato.

Le informazioni precontrattuali possono essere rese stabilmente tramite apposita documentazione messa a disposizione sul sito internet del venditore/locatore, in modo che l’utente possa prenderne visione, archiviandola per la consultazione in futuro.

A questo si aggiunge un ulteriore onere contrattuale per il titolare dei dati che volesse utilizzare i dati non personali generati dal prodotto per proprie finalità, ad esempio, per migliorare il funzionamento del prodotto o per lo sviluppo di nuovi prodotti. In questi casi, il titolare può utilizzare i dati solo se previsto nel contratto concluso con l’utente.

L’accessibilità ai dati si traduce anche nel diritto dell’utente di condividere i dati con terzi, ad esempio ad un fornitore di servizi di assistenza. In questo caso, a richiesta dell’utente, il titolare dei dati deve mettere a disposizione del terzo i dati prontamente disponibili e i metadati, mantenendo le stesse caratteristiche di qualità, in un formato di uso comune e leggibile da un dispositivo automatico. Il terzo è tenuto ad utilizzare i dati solo per le finalità concordate con l’utente.

Nel trasferimento verso i terzi, il titolare dei dati deve rispettare le condizioni comunemente dette FRAND (Fair, Reasonable, and Non-Discriminatory), ovvero divieto di clausole vessatorie o squilibrate, obbligo di chiedere compensi ragionevoli per la messa a disposizione dei dati, declinati in modo diverso a seconda che il destinatario sia una PMI o meno, e divieto di discriminazione, inteso come obbligo di applicare le medesime condizioni a soggetti simili.

Il diritto all’accessibilità viene garantito nel necessario bilanciamento con la tutela dei segreti commerciali, prevedendo il Data Act dei meccanismi di protezione a tutela del titolare del dato nonché un divieto espresso per i terzi e per gli utenti stessi di utilizzare i dati ricevuti per sviluppare prodotti concorrenti.

Sebbene la maggior parte della normativa sia entrata in vigore l’11 settembre 2025, gli obblighi relativi ai requisiti di progettazione accessibile dei nuovi prodotti decorrono dall’11 settembre 2026.

I servizi cloud

Il Data Act disciplina anche alcuni aspetti dei servizi cloud (tipicamente i servizi IaaS, PaaS e SaaS), che il Regolamento definisce servizi di trattamenti dati.

L’obiettivo del legislatore è chiaro: abbattere le barriere che impediscono agli utenti di cambiare fornitore o di passare ad un’infrastruttura locale (il cosiddetto vendor lock-in) e garantire un’equa ripartizione del valore dei dati generati dai prodotti connessi.

Per i fornitori di servizi cloud questo si traduce in un obbligo immediato di revisione della contrattualistica per uniformarsi alle nuove disposizioni europee.

Il cuore del Data Act per il settore cloud è il diritto allo switching, che si traduce nell’obbligo dei fornitori di agevolare il passaggio da un fornitore all’altro. I contratti, quindi, non possono più contenere ostacoli tecnici o commerciali che rendano eccessivamente oneroso l’abbandono del servizio.

Ogni nuovo contratto di servizi cloud deve ora includere clausole specifiche che definiscano:

assistenza al passaggio: il fornitore uscente deve impegnarsi contrattualmente ad assistere l’utente nel trasferimento dei dati e delle risorse digitali verso un nuovo fornitore o verso un’infrastruttura on-premises;
tempistiche certe: il processo di switching deve essere avviato entro un termine massimo di due mesi dalla richiesta. La migrazione deve concludersi, di norma, entro 30 giorni (estendibili solo in casi di estrema complessità tecnica);
dati esportabili: il contratto deve elencare chiaramente le categorie di dati che l’utente ha diritto di esportare.

Anche in questo caso la trasparenza è fondamentale in quanto tutte queste informazioni devono essere fornite all’utente prima della sottoscrizione del contratto.

I contenuti delle clausole contrattuali sono individuati in modo molto dettagliato nell’articolo 25 del Data Act, il quale definisce gli obblighi a carico del fornitore e le tempistiche.

La trasparenza deve essere garantita anche da un punto tecnico, dovendo i fornitori specificare i formati dei dati e gli standard di interoperabilità supportati e mettere a disposizione API per agevolare la migrazione.

Naturalmente il diritto di passaggio non impone al fornitore l’obbligo di sviluppare nuove tecnologie o servizi né di compromettere la sicurezza dei sistemi.

Un altro aspetto fondamentale per garantire l’effettività del diritto al passaggio è la progressiva eliminazione dei costi di uscita (switching charges). A decorrere dal 12 settembre 2025 i fornitori possono addebitare solo i costi effettivamente sostenuti e direttamente legati al processo di switching. Dal 12 gennaio 2027 sarà vietata qualsiasi tariffa di passaggio.

Contrasto alle clausole abusive

Il Data Act introduce, all’articolo 13, una tutela specifica per le imprese contro l’imposizione di clausole vessatorie da parte di fornitori con maggiore potere contrattuale, rivolta specialmente alle PMI, caratterizzate da un più debole potere contrattuale.

In sostanza, il Regolamento stabilisce che una clausola è abusiva, e quindi, non vincolante, se deroga gravemente alle buone pratiche commerciali o agisce in contrasto con i principi di buona fede e correttezza ed elenca.

A titolo esemplificativo, sono considerate abusive le clausole prevedono una limitazione irragionevole della responsabilità per colpa grave, quelle che attribuiscono solo al fornitore il diritto di interpretare i termini contrattuali, il diritto di modificare unilateralmente le condizioni senza preavviso o giustificazione.

Gli step da seguire per un contratto Data Act compliant

Le aziende che rientrano nel campo di applicazione del Data Act sono tenute ad una profonda analisi dei propri template contrattuali, assicurandosi che i contenuti siano in linea con le nuove previsioni, sia per quanto riguarda l’IoT che i servizi cloud, ed intervenire con le necessarie revisioni, se necessario.

In questo, un valido supporto viene dato dalle Clausole Contrattuali Tipo (MCT) e dalle Clausole Contrattuali Standard (SCC) pubblicate dalla Commissione Europea il 19 novembre 2025. Entrambe le tipologie contrattuali, di natura non vincolante, sono redatte in modo tale da poter essere adattate alle esigenze contrattuali delle parti. Pur essendo rivolte prevalentemente ai rapporti B2B, possono essere utilizzate anche nei contratti con i consumatori, integrate con le previsioni obbligatorie proprie del settore.

Le MCT contenute negli allegati II-V riguardano l’accesso ai dati personali e non e il loro utilizzo nell’ambito IoT e vanno a coprire i rapporti tra titolare dei dati utente (Annex II), i rapporti tra utente e destinatario dei dati (Annex III) e tra titolare dei dati e destinatario (Annex IV), la condivisione volontaria di dati (Annex V).

Per quanto riguarda l’ambito cloud, le SCC mirano ad essere un documento da integrare nei contratti di servizio per renderli compliant al Data Act disciplinando gli aspetti dello switching, della cessazione del contratto, security e business continuity, non dispersione contrattuale, responsabilità e divieto di modifiche unilaterali.

Entrambe le tipologie contrattuali al momento sono disponibili solo in lingua inglese.

Si ricorda che il Data Act prevede delle esenzioni specifiche per micro e piccole imprese, in modo da non gravarle eccessivamente da un punto di vista tecnologico, sottraendole all’obbligo di accessibilità by design e di condivisione dei dati.

Conclusioni: verso un mercato dell’apertura dei dati

ll Data Act rappresenta un vero e proprio cambio di paradigma destinato a rimuovere le barriere tecniche che di fatto rendevano i dati “prigionieri” delle infrastrutture dei fornitori nonché le asimmetrie contrattuali, soprattutto con i grandi vendor, trasformando i dati da asset statici a risorse fluide.

Il passaggio al nuovo regime non sarà semplice e richiederà un impegno su un duplice fronte. Non si tratta solo di aggiornare i contratti, ma di ripensare l’intera architettura tecnica dei servizi affinché l’interoperabilità sia nativa e non un’eccezione gestita a singola richiesta, in sinergia tra reparti IT e consulenti legali.

La versa sfida sarà interpretare correttamente la normativa e coglierne le opportunità.

Indice

Abstract
Introduzione al Data Act
Campo di applicazione
Rapporti tra Data Act e GDPR
I prodotti connessi e i servizi correlati
I servizi cloud
Contrasto alle clausole abusive
Gli step da seguire per un contratto Data Act compliant
Conclusioni: verso un mercato dell’apertura dei dati

PAROLE CHIAVE: accessibilità / apertura / condivisione / dati / IoT / prodotti connessi / servizi cloud / switching / terzi / titolari dei dati / trasparenza / utente

Tutti i contenuti presenti in questa rivista sono riservati. La riproduzione è vietata salvo esplicita richiesta e approvazione da parte dell’editore Digitalaw Srl.
Le foto sono di proprietà di Marcello Moscara e sono coperte dal diritto d’autore.

Cookie	Tipo	Durata	Descrizione
cookielawinfo-checkbox-advertisement	1	11 months 29 days 23 hours 59 minutes	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category ''Advertisement''.
cookielawinfo-checkbox-analytics	1	11 months 29 days 23 hours 59 minutes	This cookies is set by GDPR Cookie Consent WordPress Plugin. The cookie is used to remember the user consent for the cookies under the category ''Analytics''.
cookielawinfo-checkbox-necessary	0	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-non-necessary	0	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Non Necessary".
cookielawinfo-checkbox-performance	1	11 months 29 days 23 hours 59 minutes	This cookie is used to keep track of which cookies the user have approved for this site.
viewed_cookie_policy	0	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
wordpress_test_cookie	1	session	This cookie is used to check if the cookies are enabled on the users'' browser.

Cookie	Tipo	Durata	Descrizione
_ga	1	2 years	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site''s analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_gat_gtag_UA_92838381_1	0	1 minute	This cookie is installed by Google Analytics. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_gid	1	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the wbsite is doing. The data collected including the number visitors, the source where they have come from, and the pages viisted in an anonymous form.
GPS	1	29 minutes	This cookie is set by Youtube and registers a unique ID for tracking users based on their geographical location
vuid	1	1 years 11 months 28 days 23 hours 59 minutes	This domain of this cookie is owned by Vimeo. This cookie is used by vimeo to collect tracking information. It sets a unique ID to embed videos to the website.

Cookie	Tipo	Durata	Descrizione
IDE	1	1 years 23 days 23 hours 59 minutes	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
VISITOR_INFO1_LIVE	1	5 months 26 days 23 hours 59 minutes	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.

L’era della sovranità digitale: il Data Act e la nuova frontiera della portabilità dei dati nel mercato unico europeo

Abstract

Introduzione al Data Act

Campo di applicazione

Rapporti tra Data Act e GDPR

I prodotti connessi e i servizi correlati

I servizi cloud

Contrasto alle clausole abusive

Gli step da seguire per un contratto Data Act compliant

Conclusioni: verso un mercato dell’apertura dei dati

INDICE ARTICOLI

INDICE ARTICOLI

INDICE ARTICOLI

Nothing Found

Nothing Found

Nothing Found

L’era della sovranità digitale: il Data Act e la nuova frontiera della portabilità dei dati nel mercato unico europeo

Abstract

Introduzione al Data Act

Campo di applicazione

Rapporti tra Data Act e GDPR

I prodotti connessi e i servizi correlati

I servizi cloud

Contrasto alle clausole abusive

Gli step da seguire per un contratto Data Act compliant

Conclusioni: verso un mercato dell’apertura dei dati

***INDICE ARTICOLI***

***INDICE ARTICOLI***

***INDICE ARTICOLI***

Nothing Found

Nothing Found

Nothing Found

INDICE ARTICOLI

INDICE ARTICOLI

INDICE ARTICOLI