Chi produce o integra prodotti connessi IoT si trova davanti a un cambio profondo. Il Capo II del Regolamento UE 2023/2854 attribuisce agli utenti diritti di accesso, utilizzo e condivisione sui dati generati dai dispositivi, mentre il Capo III impone obblighi contrattuali e di trasparenza. Per produttori, fornitori di servizi digitali e startup hardware il punto di partenza è ridisegnare contratti, clausole e modelli di business intorno ai nuovi diritti dell’utente.

1. Quando un dispositivo è un “prodotto connesso” ai sensi del Data Act

L’art. 2, n. 5 del Regolamento definisce prodotto connesso come un bene che ottiene, genera o raccoglie dati relativi al proprio utilizzo o all’ambiente circostante, che è in grado di comunicare tali dati tramite un servizio di comunicazione elettronica, una connessione fisica o l’accesso sul dispositivo, e la cui funzione primaria non è l’archiviazione, il trattamento o la trasmissione di dati per conto di una parte diversa dall’utente.

La definizione si regge su tre elementi tecnici da verificare.

Il primo è la generazione di dati. Sono prodotti connessi i dispositivi che producono dati attraverso sensori, sia in fase attiva sia in stand-by: smart speaker, smartwatch, termostati intelligenti, sensori industriali, collari per animali da allevamento, sensori per il monitoraggio del suolo. Il considerando 15 chiarisce che anche i dati relativi allo stato del dispositivo quando spento sono rilevanti.

Il secondo è la capacità di comunicare i dati all’esterno. La modalità è tecnologicamente neutrale: rete cellulare, Wi-Fi, Bluetooth, LoRa-WAN, cavi USB o HDMI, accesso diretto tramite chiavette o schede.

Il terzo è la funzione primaria: il dispositivo deve avere uno scopo diverso dalla mera archiviazione, trattamento o trasmissione di dati per conto di terzi. Server, router e infrastrutture di hosting puro sono generalmente esclusi, salvo che siano di proprietà dell’utente che li usa per sé. Questo è l’elemento più complesso da maneggiare, perché molti modelli di business IoT incrociano vendita del dispositivo e abbonamento al servizio.

2. La nozione di “servizio correlato” e i modelli di business

L’art. 2, n. 6 definisce il servizio correlato come un servizio digitale diverso da un servizio di comunicazione elettronica, anche software, connesso con il prodotto al momento dell’acquisto, della locazione o del noleggio in modo che la sua assenza impedirebbe al prodotto di svolgere una o più funzioni, oppure connesso successivamente per ampliare, aggiornare o adattare le funzioni.

Il punto centrale è la bidirezionalità: il servizio deve sia ricevere dati dal prodotto sia poter influenzare il funzionamento del prodotto stesso. L’esempio della Commissione è chiaro: un’applicazione che misura l’impatto ambientale del ciclo di una lavatrice basandosi sui sensori interni e che regola di conseguenza il ciclo è un servizio correlato. Un servizio che si limita a raccogliere dati senza incidere sul funzionamento del prodotto non rientra invece nella definizione.

Questa distinzione ha implicazioni pesanti sui modelli di business. Un produttore di sensori per il monitoraggio del suolo che vende l’hardware a prezzo simbolico e monetizza attraverso un abbonamento mensile per l’accesso ai dati ricade nel perimetro del Capo II, dove gli utenti hanno diritto sostanzialmente gratuito all’accesso e alla condivisione. Continuare a far pagare l’accesso ai dati grezzi e pretrattati può integrare una pratica elusiva.

Resta legittimamente monetizzabile la fornitura di informazioni di secondo livello (analisi predittive, alert, dashboard avanzate, modelli AI) e la licenza d’uso del software che eroga tali servizi a valore aggiunto. I dati grezzi e pretrattati devono essere accessibili.

3. Dati grezzi, pretrattati e informazioni di secondo livello: la distinzione operativa

Il Capo II del Regolamento si applica solo a determinate categorie di dati. Comprenderle è essenziale per progettare correttamente l’accesso e i contratti.

I dati grezzi sono quelli generati automaticamente dal prodotto connesso o dal servizio correlato, senza ulteriori trattamenti. Sono comprensibili per la macchina ma non sempre per l’uomo.

I dati pretrattati hanno subito una forma minima di elaborazione per renderli comprensibili e utilizzabili. Il considerando 15 chiarisce che il titolare non è tenuto a investire in pulizia o trasformazione.

Le informazioni di secondo livello sono escluse dal perimetro del Capo II. Sono “informazioni dedotte o ricavate da tali dati, che sono il risultato di ulteriori investimenti nell’attribuzione di valori o informazioni derivanti dai dati”. Analisi predittive, alert intelligenti, dashboard di business intelligence e modelli AI restano nella disponibilità esclusiva del titolare e possono essere oggetto di servizi a pagamento.

Si aggiunge un ulteriore filtro: i dati devono essere “prontamente disponibili” ai sensi dell’art. 2, n. 17, cioè ottenibili dal titolare “senza che ciò implichi uno sforzo sproporzionato che vada al di là di una semplice operazione”. La soglia va valutata caso per caso, considerando aspetti tecnici, economici e organizzativi.

I Model Contractual Terms della Commissione propongono una classificazione utile: dati sullo stato (configurazione, diagnostica, consumo, manutenzione), dati sull’utilizzo (orari, attività, geolocalizzazione), dati sull’ambiente dell’utente (suolo, area) e dati sull’ambiente generale (meteo), con relativi metadati.

4. I diritti dell’utente: accesso, utilizzo, condivisione con terzi

Gli artt. 3, 4 e 5 del Regolamento attribuiscono all’utente del prodotto connesso tre diritti che ridisegnano l’equilibrio contrattuale.

Il diritto di accesso (art. 3) deve essere garantito per progettazione e per impostazione predefinita. Per i prodotti immessi sul mercato dopo il 12 settembre 2026, l’accesso deve essere integrato nella progettazione: facile, sicuro, gratuito, in formato strutturato leggibile da dispositivo automatico. Anche un’impresa cliente, un noleggiatore o una società di leasing rientrano nella definizione di utente.

Il diritto di utilizzo (art. 4) consente all’utente di usare i dati per qualsiasi finalità lecita. L’art. 4, par. 13 stabilisce che il titolare può utilizzare i dati non personali prontamente disponibili solo sulla base di un contratto con l’utente: senza autorizzazione contrattuale specifica, nessun uso è legittimo, nemmeno per il miglioramento del prodotto. L’art. 4, par. 14 vieta inoltre di usare i dati per ottenere informazioni che possano compromettere la posizione commerciale dell’utente.

Il diritto di condivisione con terzi (art. 5) è la dimensione più dirompente: un’azienda agricola può chiedere al fabbricante del trattore di trasmettere i dati a un fornitore indipendente di manutenzione predittiva. I destinatari devono essere imprese (non consumatori) e non possono essere gatekeeper individuati ai sensi del DMA.

L’art. 4, par. 10 vieta inoltre ai titolari di usare i dati per sviluppare prodotti concorrenti rispetto a quello da cui derivano. L’art. 4, par. 11 sancisce il principio del “no right to hack”: l’utente non può ricorrere a mezzi coercitivi per ottenere accesso ai dati.

5. Le informazioni precontrattuali obbligatorie

L’art. 3, parr. 2 e 3 del Regolamento impone obblighi informativi nei confronti dell’utente prima della conclusione del contratto, sia in rapporti B2C sia B2B.

Per il venditore, locatore o noleggiatore del prodotto connesso, l’art. 3, par. 2 richiede di indicare almeno: tipo, formato e volume stimato dei dati generati; se sono prodotti in tempo reale; se sono accessibili direttamente dal dispositivo o vanno richiesti al titolare; modalità di esercizio dei diritti dell’utente.

Per il fornitore del servizio correlato, l’art. 3, par. 3 richiede informazioni più estese: tipologia e volume dei dati; finalità di utilizzo da parte del titolare; identità e mezzi di contatto del titolare; modalità di richiesta di condivisione con terzi; presenza di segreti commerciali e identità del detentore.

Queste informazioni si traducono in clausole contrattuali obbligatorie. Il considerando 24 ammette che l’obbligo possa essere soddisfatto mantenendo un URL stabile o un codice QR, purché l’utente possa archiviare il contenuto su un supporto durevole.

Una sovrapposizione importante riguarda l’art. 13 del GDPR: gli obblighi informativi privacy si integrano con quelli del Data Act, ma non sono sostituibili. L’utente Data Act è più ampio dell’interessato GDPR (include persone giuridiche) e copre anche dati non personali.

6. I quattro modelli di contratto: H2U, H2R, U2R, S2R

L’art. 41 del Regolamento ha incaricato la Commissione di redigere e raccomandare clausole contrattuali tipo (Model Contractual Terms, MCT) entro il 12 settembre 2025. Il gruppo di esperti incaricato ha pubblicato il Final Report il 2 aprile 2025, con quattro modelli che coprono tutti i rapporti del Capo II e III.

Il contratto Holder to User (H2U) disciplina il rapporto tra titolare dei dati e utente del prodotto connesso. È il modello più frequente e articolato.

Il contratto Holder to Recipient (H2R) regola il rapporto tra titolare dei dati e terzo destinatario indicato dall’utente, esclusivamente in ambito B2B.

Il contratto User to Recipient (U2R) regola il rapporto tra utente e destinatario.

Il contratto Sharer to Recipient (S2R) è facoltativo, pensato per condivisioni dati B2B non riconducibili agli artt. 3-5.

Gli MCT sono strumenti non vincolanti che ogni azienda può adattare. Sono pensati per rapporti B2B: per i contratti B2C servono adattamenti che rispettino la disciplina consumeristica più stringente.

7. I contenuti critici del contratto Holder to User

Il contratto H2U è quello su cui si concentrano le maggiori complessità operative. Cinque aree meritano un’attenzione specifica.

7.1 Perimetro dei dati oggetto di condivisione

Il contratto deve identificare in modo puntuale quali dati sono inclusi, distinguendo dati grezzi, pretrattati e metadati pertinenti ed escludendo le informazioni di secondo livello. La genericità è il principale rischio: una clausola che parli di “dati generati dal prodotto” senza specificare formato, frequenza, volume e categorie espone il titolare a contestazioni sia per eccesso sia per difetto.

7.2 Utilizzo dei dati non personali da parte del titolare

L’art. 4, par. 13 è categorico: il titolare può utilizzare i dati non personali solo sulla base di un contratto con l’utente. Senza pattuizione esplicita, qualsiasi uso è illegittimo. Le finalità tipiche da contrattualizzare sono esecuzione del contratto, garanzia e assistenza post-vendita, monitoraggio e miglioramento del prodotto, controllo qualità, sviluppo di nuovi prodotti non concorrenti (art. 4, par. 10), aggregazione per condivisione di dati derivati con terzi.

7.3 Protezione dei segreti commerciali

L’art. 4, parr. 6-8 disciplina il bilanciamento tra accesso ai dati e tutela del know-how. Il titolare non può rifiutare l’accesso solo perché alcuni dati costituiscono segreti commerciali, ma può imporre misure tecniche e organizzative proporzionate per preservarne la riservatezza: identificazione puntuale dei segreti, cifratura, segregazione, NDA, controllo accessi, audit. Va prevista anche una clausola di “freno di emergenza” che consenta la sospensione dell’accesso in caso di violazione documentata, e la possibilità di diniego in “circostanze eccezionali” con prova di danno economico grave (art. 4, par. 8).

7.4 Limitazioni all’uso dei dati da parte dell’utente

Il considerando 25 prevede limitate possibilità di restringere contrattualmente l’uso dei dati da parte dell’utente, principalmente per evitare lo sviluppo di prodotti concorrenti, l’ingegneria inversa volta a scopi diversi dalla riparazione, e per il principio del “no right to hack”. Divieti generici di riuso possono essere considerati abusivi ai sensi del Capo IV.

7.5 Sub-utenti

Il considerando 18 chiarisce che, quando lo stesso prodotto è usato da più sub-utenti, ognuno gode dei diritti del Regolamento. Il caso tipico è il car sharing, dove la compagnia di noleggio è “utente iniziale” e ciascun automobilista è “sub-utente”. Il titolare può adottare due strategie: interagire direttamente con ciascun sub-utente, o riconoscere all’utente iniziale un ruolo di intermediario (assimilabile al mandato con rappresentanza) che gestisce i diritti per conto dei sub-utenti.

8. Errori frequenti e rischi pratici

Cinque errori ricorrono nei contratti IoT analizzati dopo il 12 settembre 2025.

Il primo è la confusione tra dati grezzi/pretrattati e informazioni di secondo livello, che porta a includere nei servizi a pagamento dati che dovrebbero essere accessibili gratuitamente.

Il secondo è l’informativa precontrattuale incompleta: la mancata indicazione del titolare dei dati, dei mezzi di contatto, delle modalità di esercizio dei diritti rende difficile dimostrare la conformità all’art. 3.

Il terzo è la gestione approssimativa dei segreti commerciali: senza mappatura dei trade secret e misure tecniche proporzionate, il titolare si trova a scegliere tra rivelare il know-how o subire contestazioni di rifiuto immotivato.

Il quarto è l’assenza di clausole su sub-utenti in modelli multi-utente, con esposizione a richieste contemporanee da soggetti diversi.

Il quinto è la mancata distinzione tra obblighi B2C e B2B: la disciplina consumeristica rende inefficaci molte clausole pensate per il B2B, in particolare su limitazioni d’uso e modifica unilaterale del contratto.

I rischi pratici sono significativi: nullità delle clausole non conformi, responsabilità contrattuale verso utenti e destinatari, perdita di legittimazione a usare i dati non personali per le proprie finalità, contestazioni di abusività ex Capo IV, sanzioni amministrative una volta operativo il decreto attuativo italiano.

Conclusione in sintesi

  • I prodotti connessi IoT rientrano nel Data Act quando soddisfano tre requisiti: generazione di dati, capacità di comunicazione esterna, funzione primaria diversa dall’archiviazione per conto di terzi.
  • I servizi correlati richiedono bidirezionalità: il servizio riceve dati dal prodotto e ne influenza il funzionamento.
  • Solo i dati grezzi e pretrattati prontamente disponibili rientrano nel Capo II; le informazioni di secondo livello restano nella disponibilità esclusiva del titolare.
  • L’utente ha diritto di accesso, utilizzo e condivisione con terzi; il titolare può usare i dati non personali solo sulla base di un contratto specifico (art. 4, par. 13).
  • Le informazioni precontrattuali obbligatorie (art. 3) devono essere distinte tra B2C e B2B e possono essere fornite tramite URL stabile o codice QR archiviabile su supporto durevole.
  • I quattro modelli MCT della Commissione (H2U, H2R, U2R, S2R) sono il punto di partenza ma vanno adattati al caso specifico, con attenzione a perimetro dati, segreti commerciali, limitazioni d’uso e sub-utenti.
Hai un prodotto IoT o un servizio cloud?

Adegua contratti e informative al Data Act.

  • Indice dei Contenuti

Altre guide che potrebbero interessarti

Rimani informato su tutte le novità di questo affascinante mondo

Diritto digitale

Il Modello 231: cos’è, a cosa serve e perché la tua azienda ne ha bisogno

Eventi

ctrl/shift 2026: dal 13 al 15 giugno a Napoli il summit internazionale su AI, Quantum e Web3

Diritto digitale

Accessibilità sito web: cosa devi fare per essere a norma con l’European Accessibility Act

Nuove tecnologie

Prodotti connessi IoT e contratti di condivisione dati: gli obblighi del Data Act per aziende e produttori

Nuove tecnologie

Switching tra fornitori cloud: gli obblighi del Data Act per chi usa servizi SaaS e IaaS

Nuove tecnologie

Data Act: la guida operativa per le aziende

Intelligenza artificiale, Nuove tecnologie

FRIA, la valutazione d’impatto sui diritti fondamentali: cosa fare prima del 2 agosto 2026

Intelligenza artificiale, Nuove tecnologie

Opt-out TDM e riserva dei diritti: come proteggere i contenuti web dal training delle IA generative

Intelligenza artificiale, Nuove tecnologie

AI Act e diritto d’autore: cosa cambia per provider di modelli GPAI e titolari di contenuti

Web3 | Blockchain | Intelligenza Artificiale  | Metaverso | NFT | Big Data | Nuove tecnologie | Contratti di impresa | Termini e Condizioni di vendita | E-Commerce |Adeguamento Privacy e GDPR | Proprietà Intellettuale | Gestione della Crisi | Tutela 360° |Web3 | Blockchain | Intelligenza Artificiale  | Metaverso | NFT | Big Data | Nuove tecnologie | Contratti di impresa | Termini e Condizioni di vendita | E-Commerce |Adeguamento Privacy e GDPR | Proprietà Intellettuale | Gestione della Crisi | Tutela 360° |

Richiedi una valutazione chiara del tuo caso.

Compila il form e ti risponderemo entro 48 ore

Cliccando sul pulsante “INVIA” confermi di aver preso visione della Privacy Policy e acconsenti al trattamento dei dati personali forniti, esclusivamente per dare seguito alla tua richiesta.