Il Data Act, ovvero il Regolamento UE 2023/2854 sull’accesso equo ai dati e sul loro utilizzo, è pienamente applicabile dal 12 settembre 2025. È un cambio di paradigma: chi genera dati attraverso prodotti connessi e servizi digitali acquisisce il diritto di accedervi, utilizzarli e condividerli con terzi. Per fabbricanti, fornitori cloud, web agency e PMI digitali significa rivedere contratti, informative e modelli di business. Questa guida riassume cosa fa il Regolamento, chi è coinvolto e quali sono gli adempimenti operativi più urgenti.

1. Cos’è il Data Act e perché serve

Il Data Act è il secondo pilastro normativo della Strategia europea per i dati, dopo il Data Governance Act (Reg. UE 2022/868). Mentre il Data Governance Act regola l’infrastruttura giuridica della condivisione, il Data Act stabilisce chi può accedere a quali dati e a quali condizioni, intervenendo sulle relazioni private tra produttori, utenti e terzi.

L’Unione ha individuato quattro problemi che il Regolamento mira a risolvere. Il primo è la scarsa capacità di consumatori e imprese di sfruttare il valore dei dati generati dai prodotti che utilizzano: chi acquista un trattore connesso, una stampante industriale o un dispositivo medico spesso non ha alcun controllo sui dati che genera. Il secondo è la difficoltà delle PMI ad accedere ai dati nei rapporti B2B, ostacolata da clausole contrattuali squilibrate. Il terzo è la lentezza con cui la pubblica amministrazione acquisisce dati dal settore privato nelle situazioni di emergenza. Il quarto è il lock-in che blocca i clienti dei servizi cloud presso i grandi provider, prevalentemente extraeuropei.

A questi problemi il Regolamento risponde introducendo nuovi diritti soggettivi, obblighi di trasparenza, regole sui contratti e meccanismi tecnici di portabilità e interoperabilità. Si applica indistintamente a dati personali e non personali: una scelta importante, perché nella prassi i due tipi di dati si intrecciano e separarli è spesso artificioso.

2. Le date che contano: applicazione progressiva

L’art. 50 del Regolamento scandisce un calendario di applicazione progressiva che è essenziale conoscere per pianificare gli adeguamenti.

Il 12 settembre 2025 è la data di applicazione generale del Regolamento. Da quel momento sono operativi i diritti di accesso, utilizzo e condivisione dei dati (Capo II), gli obblighi B2G nelle situazioni di necessità eccezionale (Capo V) e gli obblighi sui servizi di trattamento dei dati relativi allo switching (Capo VI). Il Capo IV sulle clausole abusive B2B si applica ai contratti conclusi dopo quella data.

Il 12 settembre 2026 è la data di applicazione dell’obbligo di accesso ai dati by design, previsto dall’art. 3, par. 1. Da quel giorno, i prodotti connessi e i servizi correlati immessi sul mercato dell’Unione devono essere progettati in modo che l’utente possa accedere ai dati generati in modo facile, sicuro, gratuito e in formato strutturato.

Il 12 settembre 2027 è la data in cui il Capo IV sulle clausole abusive si applicherà anche ai contratti conclusi prima del 12 settembre 2025, purché a tempo indeterminato o con scadenza successiva all’11 gennaio 2034. È il termine che impone una revisione degli accordi cloud e SaaS pluriennali ancora in essere.

In Italia, al maggio 2026, il decreto attuativo che individua l’autorità nazionale competente e definisce il regime sanzionatorio non è ancora stato adottato. Questo non sospende l’applicabilità diretta del Regolamento, che resta cogente per tutte le aziende operanti nell’Unione.

3. Chi è coinvolto: la mappa dei soggetti

L’art. 1, par. 3 del Regolamento adotta un approccio estensivo. Sono coinvolti sette categorie di soggetti, indipendentemente dal luogo di stabilimento, purché operino sul mercato europeo: fabbricanti di prodotti connessi, fornitori di servizi correlati, utenti, titolari dei dati, destinatari dei dati, enti pubblici richiedenti, fornitori di servizi cloud ed edge, partecipanti agli spazi comuni di dati e venditori di smart contract.

Quattro figure meritano un focus particolare, perché definiscono la dinamica operativa di tutto il Regolamento.

3.1 L’utente

È il soggetto cui sono attribuiti i nuovi diritti. Può essere una persona fisica o giuridica che possiede un prodotto connesso, ha ricevuto contrattualmente diritti temporanei di utilizzo o riceve un servizio correlato. Anche un’impresa è utente: significa che un’azienda che noleggia macchinari industriali smart ha diritti pieni sui dati generati durante l’utilizzo.

3.2 Il titolare dei dati

È il soggetto su cui ricadono gli obblighi: una persona fisica o giuridica che ha il diritto o l’obbligo di utilizzare e mettere a disposizione i dati. Tipicamente è il fabbricante del prodotto connesso o il fornitore del servizio correlato, ma può essere anche un soggetto diverso lungo la filiera. Non va confuso con il titolare del trattamento (data controller) del GDPR, anche se le due figure spesso coincidono nella stessa entità giuridica.

3.3 Il destinatario dei dati

È il terzo cui l’utente può chiedere che i dati siano trasmessi. Non rientrano in questa categoria i gatekeeper individuati ai sensi del DMA (Reg. UE 2022/1925), che sono espressamente esclusi per evitare ulteriori concentrazioni di mercato.

3.4 Esclusioni soggettive

Il Capo II non si applica a microimprese e piccole imprese (sotto i 50 dipendenti e 10 milioni di euro di fatturato annuo), salvo eccezioni. Questa è una notizia rilevante per le startup nei primi anni di attività, ma attenzione: l’esclusione vale per il titolare dei dati che è microimpresa, non per gli utenti.

4. I tre diritti cardine: accesso, utilizzo, condivisione

Il cuore del Data Act sono i tre nuovi diritti riconosciuti all’utente dagli artt. 3, 4 e 5 del Regolamento.

4.1 Diritto di accesso ai dati (art. 3)

L’utente ha diritto ad accedere ai dati generati dal proprio utilizzo di un prodotto connesso o servizio correlato. L’accesso deve essere facile, sicuro, gratuito, in formato strutturato, di uso comune e leggibile da dispositivo automatico. Per i prodotti immessi sul mercato dopo il 12 settembre 2026 questo accesso deve essere garantito by design, integrato nella progettazione del prodotto stesso.

Il diritto riguarda i dati grezzi e i dati pretrattati. Non riguarda invece le informazioni di secondo livello, cioè quelle derivate da elaborazioni complesse che incorporano il know-how del titolare. La distinzione è critica e fonte di contenzioso prevedibile.

4.2 Diritto di utilizzo dei dati (art. 4)

L’utente può utilizzare i dati cui ha avuto accesso per qualsiasi finalità lecita. È un’innovazione rilevante: prima del Data Act, molti contratti riservavano al fabbricante l’utilizzo esclusivo dei dati generati. Ora il titolare può continuare a usarli solo se concordato contrattualmente con l’utente, e mai per sviluppare prodotti concorrenti rispetto a quello da cui i dati derivano.

4.3 Diritto di condivisione con terzi (art. 5)

L’utente può chiedere al titolare di trasmettere i dati a un terzo di sua scelta. È la dimensione più dirompente: un’azienda agricola che usa un trattore connesso può chiedere al fabbricante di trasmettere i dati a un fornitore indipendente di servizi di manutenzione predittiva, scardinando il lock-in tecnologico.

Il titolare può rifiutare solo in casi tassativi, principalmente per tutela di segreti commerciali, e a condizioni rigorose. Le clausole contrattuali che escludono o limitano questo diritto sono nulle se l’utente è consumatore, e abusive se l’utente è impresa.

5. Cosa devono fare le aziende: gli adempimenti operativi

Tradurre gli obblighi del Data Act in azioni concrete dipende dal ruolo dell’azienda nella catena del valore.

5.1 Per fabbricanti di prodotti connessi e fornitori di servizi correlati

Le azioni prioritarie sono: mappatura dei dati generati distinguendo grezzi, pretrattati e di secondo livello; redazione di informative pre-contrattuali ex artt. 3 e 9 del Regolamento, che devono specificare tipo di dati, modalità di accesso e diritti dell’utente; revisione dei T&C e dei contratti di vendita o noleggio per renderli compatibili con i diritti dell’utente; per i prodotti immessi sul mercato dopo il 12 settembre 2026, integrazione dell’accesso by design nella progettazione; mappatura dei segreti commerciali da proteggere e implementazione delle misure di salvaguardia previste dall’art. 4, par. 6.

5.2 Per fornitori di servizi cloud, edge, SaaS, IaaS, PaaS

Gli obblighi del Capo VI mirano a eliminare il vendor lock-in. Le aziende fornitrici devono: predisporre clausole contrattuali standard (SCC) conformi alle indicazioni della Commissione su switching, terminazione, sicurezza, continuità operativa, responsabilità; garantire che il passaggio a un altro fornitore avvenga in tempi predeterminati (la finestra principale è di 30 giorni con periodo transitorio massimo di sei mesi); abolire progressivamente le tariffe di passaggio (entro il 12 gennaio 2027 dovrebbero essere azzerate); assicurare equivalenza funzionale del servizio dopo lo switching; fornire trasparenza informativa pubblica sulle modalità di passaggio.

5.3 Per utenti imprese di prodotti connessi e servizi cloud

Anche dal lato utente ci sono azioni da intraprendere: verificare quali dati genera l’azienda attraverso i prodotti connessi acquistati o noleggiati; valutare se attivare richieste di condivisione verso fornitori alternativi (manutenzione, analytics, servizi indipendenti); rinegoziare i contratti cloud sfruttando il nuovo regime di switching; censire i contratti SaaS pluriennali in essere in vista del 12 settembre 2027.

5.4 Per tutti: contratti B2B e clausole abusive

Il Capo IV introduce un controllo di abusività delle clausole imposte unilateralmente nei contratti B2B sull’accesso e l’uso dei dati. È previsto un meccanismo simile a quello delle clausole abusive nei contratti con i consumatori, con una lista nera di clausole automaticamente nulle e una lista grigia di clausole presunte abusive. Ogni azienda che redige contratti standard sull’accesso ai dati deve sottoporli a verifica di conformità.

6. Rischi e sanzioni: cosa c’è in gioco

L’art. 40 del Regolamento delega agli Stati membri la definizione delle sanzioni, richiedendo che siano efficaci, proporzionate e dissuasive. Quando si tratta di violazioni che coinvolgono dati personali, possono applicarsi anche le sanzioni del GDPR (fino a 20.000.000 euro o 4% del fatturato annuo mondiale).

In Italia, in attesa del decreto attuativo, il quadro nazionale di enforcement è incompleto. Questo non significa che le imprese possano ignorare gli obblighi: il Regolamento è direttamente applicabile, e i diritti degli utenti possono essere azionati in via civile davanti al giudice ordinario. Una clausola contrattuale incompatibile con il Data Act può essere dichiarata nulla; un rifiuto immotivato di condivisione dei dati può generare responsabilità contrattuale ed extracontrattuale; un’omessa informativa pre-contrattuale può alimentare contestazioni in caso di disputa.

Si aggiunge il rischio reputazionale e commerciale: clienti business sempre più sofisticati richiedono garanzie di conformità al Data Act nelle gare e nei due diligence, e l’incompatibilità con il Regolamento può tradursi in perdita di opportunità.

7. Le aree del Data Act che impatteranno di più

Cinque ambiti meritano un’attenzione operativa immediata, perché tipicamente generano i primi contenziosi e le prime richieste di adeguamento.

Il primo è la contrattualistica IoT, con la necessità di adeguare T&C, contratti di vendita, noleggio e manutenzione dei prodotti connessi. Il secondo è la portabilità cloud, con la revisione dei contratti SaaS, IaaS e PaaS in vista dello switching senza tariffe. Il terzo è il rapporto con i segreti commerciali, dove la condivisione dei dati richiede meccanismi rigorosi di protezione del know-how. Il quarto è la compliance integrata con il GDPR, per evitare che le procedure Data Act entrino in conflitto con le basi giuridiche del trattamento. Il quinto è la revisione delle clausole abusive B2B, che richiede un audit dei contratti standard utilizzati per la condivisione dei dati con clienti e partner.

Conclusione in sintesi

  • Il Data Act (Reg. UE 2023/2854) è applicabile dal 12 settembre 2025, con regimi progressivi fino al 2027 per by design dei prodotti, clausole abusive su contratti preesistenti e abolizione tariffe cloud.
  • L’ambito territoriale è estensivo: vincola anche soggetti extra-UE che operano sul mercato europeo, secondo un approccio coerente con GDPR, DSA e DMA.
  • I tre diritti cardine sono accesso, utilizzo e condivisione dei dati generati da prodotti connessi e servizi correlati; spettano all’utente, sia consumatore sia impresa.
  • Gli adempimenti operativi più urgenti sono: revisione contratti IoT e cloud, redazione informative pre-contrattuali, mappatura dei segreti commerciali, audit delle clausole B2B.
  • Microimprese e piccole imprese sono in parte escluse dagli obblighi del Capo II, ma non dai diritti riconosciuti come utenti
Hai un prodotto IoT o un servizio cloud?

Adegua contratti e informative al Data Act.

  • Indice dei Contenuti

Altre guide che potrebbero interessarti

Rimani informato su tutte le novità di questo affascinante mondo

Diritto digitale

Il Modello 231: cos’è, a cosa serve e perché la tua azienda ne ha bisogno

Eventi

ctrl/shift 2026: dal 13 al 15 giugno a Napoli il summit internazionale su AI, Quantum e Web3

Diritto digitale

Accessibilità sito web: cosa devi fare per essere a norma con l’European Accessibility Act

Nuove tecnologie

Prodotti connessi IoT e contratti di condivisione dati: gli obblighi del Data Act per aziende e produttori

Nuove tecnologie

Switching tra fornitori cloud: gli obblighi del Data Act per chi usa servizi SaaS e IaaS

Nuove tecnologie

Data Act: la guida operativa per le aziende

Intelligenza artificiale, Nuove tecnologie

FRIA, la valutazione d’impatto sui diritti fondamentali: cosa fare prima del 2 agosto 2026

Intelligenza artificiale, Nuove tecnologie

Opt-out TDM e riserva dei diritti: come proteggere i contenuti web dal training delle IA generative

Intelligenza artificiale, Nuove tecnologie

AI Act e diritto d’autore: cosa cambia per provider di modelli GPAI e titolari di contenuti

Web3 | Blockchain | Intelligenza Artificiale  | Metaverso | NFT | Big Data | Nuove tecnologie | Contratti di impresa | Termini e Condizioni di vendita | E-Commerce |Adeguamento Privacy e GDPR | Proprietà Intellettuale | Gestione della Crisi | Tutela 360° |Web3 | Blockchain | Intelligenza Artificiale  | Metaverso | NFT | Big Data | Nuove tecnologie | Contratti di impresa | Termini e Condizioni di vendita | E-Commerce |Adeguamento Privacy e GDPR | Proprietà Intellettuale | Gestione della Crisi | Tutela 360° |

Richiedi una valutazione chiara del tuo caso.

Compila il form e ti risponderemo entro 48 ore

Cliccando sul pulsante “INVIA” confermi di aver preso visione della Privacy Policy e acconsenti al trattamento dei dati personali forniti, esclusivamente per dare seguito alla tua richiesta.