Data Act: al via le nuove regole UE per l’accesso equo ai dati

Pubblicato il 10 settembre 2025

A partire dal 12 settembre 2025 si applicherà il Regolamento (UE) 2023/2854, noto come Data Act, che introduce norme armonizzate sull’accesso equo ai dati generati da prodotti connessi e servizi digitali nell’Unione europea.

Regolamento 2023/2854 applicabile dal 12 settembre: governance equa dei dati  

Il Regolamento (UE) 2023/2854 ha come obiettivo primario quello di assicurare una distribuzione bilanciata del valore economico dei dati, promuovere l’innovazione e garantire la trasparenza tra utenti, imprese e pubblica amministrazione.

Equa distribuzione dei dati e diritti degli utenti

Il Regolamento promuove un’equa distribuzione del valore generato dai dati tra le parti coinvolte nell’economia dei dati, stabilendo chi può utilizzarli e a quali condizioni.

La normativa introduce misure volte a garantire agli utenti dei prodotti connessi — quali smartphone, elettrodomestici intelligenti o macchinari industriali — il diritto di accedere ai dati generati dall’utilizzo di tali beni. Tali misure mirano a rafforzare la certezza del diritto in materia di accesso e utilizzo dei dati, assicurando trasparenza, equità e condizioni uniformi nell’ambito dell’economia dei dati.

Sono previste, inoltre, regole chiare sull’impiego dei dati, incentivi agli investimenti per dati di alta qualità, strumenti per facilitare il trasferimento dei dati tra titolari e utenti nel rispetto della riservatezza, norme per la condivisione con terzi, tutele per segreti commerciali e proprietà intellettuale, e un sistema di indennizzo equo e risoluzione delle controversie.

Misure a sostegno dell’economia dei dati  

Il Regolamento introduce anche misure complementari volte a:

• contrastare le clausole contrattuali abusive imposte da imprese in posizione dominante e promuove modelli contrattuali equi;
• consentire l’accesso ai dati da parte degli enti pubblici in situazioni eccezionali, come le emergenze;
• favorire la portabilità tra fornitori di servizi cloud, riducendo i costi di uscita e migliorando l’interoperabilità dei dati.

Segue un’analisi delle principali disposizioni introdotte dal Regolamento.

Accesso ai dati generati da prodotti connessi: cosa cambia per utenti e imprese  

Accessibilità dei dati e diritto degli utenti  

Il Regolamento riconosce agli utenti — definiti come persone fisiche o giuridiche che possiedono, noleggiano o utilizzano un prodotto connesso o usufruiscono di un servizio correlato — il diritto di accedere ai dati generati dall’utilizzo di tali prodotti o servizi.

Prodotto connesso

Per prodotto connesso si intende un bene che, tramite componenti o sistemi operativi, ottiene, genera o raccoglie dati relativi al proprio utilizzo, prestazioni o ambiente, ed è in grado di comunicarli mediante una connessione elettronica. Sono esclusi i prototipi e i prodotti non capaci di trasmettere dati all’esterno.

Rientrano nella definizione di prodotti connessi smartphone, elettrodomestici intelligenti, macchine industriali, veicoli connessi e dispositivi medici digitali, sistemi domotici, dispositivi per il fitness etc.

Accesso ai dati

I dati generati devono essere messi a disposizione dell’utente:

• a titolo gratuito, su semplice richiesta;
• in un formato completo, strutturato, di uso comune e leggibile da dispositivo automatico;
• in modo facile e sicuro, senza che sia necessaria un’autorizzazione preventiva da parte del titolare dei dati;
• secondo modalità trasparenti, eque, ragionevoli e non discriminatorie.

Tali dati comprendono anche i metadati pertinenti, come marca temporale e contesto di riferimento, necessari per la loro interpretazione e utilizzo.

Condivisione dei dati con terzi  

Gli utenti potranno autorizzare la condivisione dei dati con terze parti, anche per finalità commerciali, consentendo lo sviluppo di servizi post-vendita, manutenzione predittiva e nuovi modelli di business basati sui dati.

Obblighi dei titolari dei dati e limiti normativi  

Chi è il titolare dei dati  

Il titolare dei dati è definito come il soggetto che ha accesso legittimo ai dati generati da un prodotto o servizio connesso. Spesso coincide con il produttore o il fornitore del servizio.

Obblighi principali  

I titolari dei dati devono:

• garantire l’accesso ai dati su richiesta dell’utente;
• fornire i dati a terzi designati dagli utenti, senza ritardi;
• evitare pratiche discriminatorie e clausole contrattuali abusive.

Tutela di segreti commerciali e proprietà intellettuale  

Il Regolamento tutela i segreti commerciali e i diritti di proprietà intellettuale imponendo che la condivisione dei dati non ne comprometta la riservatezza.

Il titolare dei dati può rifiutare l’accesso solo se dimostra che la divulgazione comporterebbe un grave danno economico non evitabile con misure adeguate.

I dati derivati da algoritmi proprietari complessi non sono soggetti all’obbligo di condivisione.

Clausole contrattuali e misure contro gli squilibri di mercato  

Divieto di clausole abusive  

Il Regolamento vieta, nei contratti tra imprese, le clausole contrattuali imposte unilateralmente che limitano l’accesso, l’uso o la condivisione dei dati in modo contrario alla buona fede. Tali clausole sono considerate non vincolanti. Sono previste:

• clausole sempre abusive;
• clausole presumibilmente abusive, salvo prova contraria da parte dell’impresa che le ha imposte.

Modelli contrattuali standard

Il Regolamento mira a prevenire l’abuso di clausole contrattuali ingiuste, tutelando le imprese da condizioni imposte da controparti in posizione dominante e promuovendo modelli contrattuali equi per facilitare una condivisione trasparente e bilanciata dei dati.

La Commissione europea, ciò posto, potrà fornire clausole tipo per facilitare la redazione di contratti equi tra titolari e destinatari dei dati.

Accesso ai dati da parte della Pubblica Amministrazione  

Necessità eccezionale e interesse pubblico  

Gli enti pubblici, la Commissione europea e la BCE possono richiedere l’accesso ai dati in caso di:

• emergenze pubbliche (es. pandemie, disastri naturali);
• necessità eccezionali legate a finalità statutarie previste dalla legge.

Le richieste di accesso ai dati da parte degli enti pubblici devono:

• essere formulate in modo da rispettare il principio di proporzionalità, garantendo che i dati richiesti siano strettamente necessari rispetto agli scopi perseguiti;
• essere trasparenti, indicando chiaramente le finalità e le modalità di utilizzo;
• essere limitate a finalità specifiche e determinate, evitando usi ulteriori non autorizzati.

Portabilità dei dati e mercato dei servizi cloud  

Facilitato il cambio di fornitore cloud  

Il Regolamento prevede misure per ridurre le barriere al cambio di provider di servizi di trattamento dei dati (cloud ed edge computing), tra cui:

• interoperabilità tecnica;
• limitazione dei costi di trasferimento;
• obbligo di cooperazione tra fornitori.

In questo modo, si mira a creare spazi comuni europei di dati e per garantire la concorrenza nel mercato digitale.

Misure di protezione, interoperabilità e coordinamento con altre normative

Il Regolamento, a seguire, introduce misure complementari per rafforzare la fiducia e la funzionalità dell’economia dei dati.

In particolare, esclude dall’ambito di applicazione della direttiva 96/9/CE i dati generati da prodotti connessi, chiarendo che non rientrano nella tutela delle banche dati.

E' inoltre prevista una protezione contro accessi illegali da parte di autorità straniere a dati non personali, rafforzando la sovranità digitale europea.

Viene poi promossa l’interoperabilità tecnica e semantica tra sistemi, migliorando i meccanismi di condivisione e sostenendo la creazione di spazi comuni europei di dati.

Restano tuttavia impregiudicati gli obblighi derivanti da norme dell’UE o nazionali che disciplinano l’accesso ai dati per fini di giustizia penale, doganali o fiscali.

Entrata in vigore delle disposizioni 

Il Regolamento, come anticipato, è entrato in vigore il l'11 gennaio 2024 (ventesimo giorno successivo alla sua pubblicazione nella Gazzetta ufficiale dell’Unione europea) e si applica a partire dal 12 settembre 2025.

Tuttavia, alcuni obblighi specifici troveranno applicazione in momenti successivi.

In particolare, l’articolo 3, paragrafo 1 — relativo agli obblighi di progettazione per l’accessibilità dei dati nei prodotti connessi e nei servizi correlati — si applicherà esclusivamente ai prodotti immessi sul mercato dopo il 12 settembre 2026.

Il Capo III, sull’accesso ai dati in caso di necessità eccezionali da parte di enti pubblici, si applicherà solo agli obblighi introdotti da norme UE o nazionali entrate in vigore dopo il 12 settembre 2025.

Inoltre, le disposizioni di cui al Capo IV (concernenti le clausole contrattuali abusive tra imprese in materia di accesso e utilizzo dei dati) si applicheranno:

• a partire dal 12 settembre 2027 anche ai contratti stipulati dopo il 12 settembre 2025;
• a decorrere dal medesimo 12 settembre 2027 ai contratti conclusi il o anteriormente al 12 settembre 2025, a condizione che siano a tempo indeterminato o scadano almeno 10 anni dopo l’11 gennaio 2024.