Data act: i tuoi dati finalmente tornano a te (applicabilità dal 12 settembre)

C’è una regola non scritta che ha governato l’economia digitale degli ultimi quindici anni: se compri un dispositivo connesso – che sia un’aspirapolvere intelligente, un’auto elettrica o uno smartwatch – i dati che vengono memorizzati al suo interno, anche se generati da te, non ti appartengono. Restano nel cassetto del produttore, custoditi gelosamente dietro serrature digitali e clausole contrattuali poco trasparenti. È la logica del lock-in: vuoi accedere a quei dati? Bene, devi passare da chi ha progettato l’oggetto e pagare il biglietto di ingresso.
Il Regolamento (UE) 2023/2854, meglio noto come Data Act, ribalta questo schema. Entrato in vigore l’11 gennaio 2024 e pienamente applicabile dal 12 settembre 2025, il nuovo regolamento europeo promette di consegnare ai consumatori e alle imprese un potere che fino a ieri era solo teorico: l’accesso, diretto e strutturato, ai dati generati dai propri dispositivi IoT. Una rivoluzione silenziosa, ma di quelle che spostano davvero gli equilibri economici e giuridici. Per approfondire questi temi abbiamo organizzato il corso di formazione Master in Cybersecurity e compliance integrata

1. Il quadro normativo: da dove arriva il Data Act

Il Data Act non nasce in un vuoto normativo. Si inserisce nella più ampia strategia europea per il mercato unico dei dati, accanto al Data Governance Act (Reg. UE 2022/868) e in dialogo costante con il GDPR.

• Adozione: approvato definitivamente il 13 dicembre 2023, pubblicato in Gazzetta ufficiale il 22 dicembre 2023 (leggi in proposito l’articolo dedicato)
• Entrata in vigore: 11 gennaio 2024.
• Applicabilità: dal 12 settembre 2025, con alcune disposizioni che avranno decorrenze ulteriori nel 2026 e 2027.

La Commissione europea lo descrive come la chiave per liberare il potenziale economico dei dati non personali, stimando che il valore del mercato dei dati possa superare i 270 miliardi di euro entro il 2028. Non male per qualcosa che, fino a ieri, era considerato poco più di un sottoprodotto delle nostre interazioni digitali.

2. Gli obiettivi dichiarati (e quelli impliciti)

Il Data Act si propone di:

• Ridurre i lock-in tecnologici: il produttore non potrà più detenere il monopolio dei dati.
• Favorire la concorrenza: servizi di manutenzione, riparazione o post-vendita potranno accedere ai dati senza passare per contratti vessatori.
• Stimolare innovazione: consentire alle PMI di sviluppare servizi data-driven senza dipendere da colossi tecnologici.
• Empowerment dell’utente: restituire al consumatore la centralità sui dati che produce.

Tradotto in termini meno istituzionali: se compri un frigorifero smart, i dati sui consumi e sui malfunzionamenti non possono più restare in mano solo al produttore. Potrai ottenerli, analizzarli, passarli a un tecnico indipendente o a un’app di terze parti. Fine del monopolio.

3. Ambito di applicazione

Il regolamento si applica a:

• Prodotti connessi (IoT): elettrodomestici intelligenti, wearable, auto connesse, dispositivi medicali, sistemi domotici.
• Servizi connessi: app collegate al prodotto, software di gestione, servizi cloud ed edge computing che elaborano i dati.

I dati interessati sono quelli generati dall’uso del dispositivo: quindi dati grezzi o pre-elaborati, ma non trasformazioni complesse o informazioni puramente infrastrutturali. Una distinzione che, dal punto di vista tecnico-giuridico, aprirà inevitabilmente spazi di interpretazione e – prevedibilmente – contenzioso.

4. Diritti e obblighi: cosa cambia davvero

Accesso by design
I dispositivi dovranno essere progettati per consentire all’utente l’accesso diretto ai dati. Non sarà più possibile dire: “non è tecnicamente fattibile”. Lo diventa per legge.
Disponibilità su richiesta
Il produttore o il fornitore di servizi è obbligato a rendere i dati disponibili senza ritardo, in formato strutturato, di uso comune e leggibile da macchina. Un concetto che riecheggia la portabilità del GDPR (art. 20), ma qui declinato su larga scala.
Trasmissione a terzi
Su richiesta dell’utente, i dati devono essere messi a disposizione di soggetti terzi, a condizioni eque, ragionevoli e non discriminatorie (il celebre standard FRAND: fair, reasonable and not negotiable).
Trasparenza precontrattuale
Prima di sottoscrivere un contratto, il produttore deve informare l’utente su:

• tipo di dati generati,
• formato,
• volume stimato,
• modalità di accesso.

Clausole contrattuali sleali: vietate
Nei rapporti B2B, sono nulle le clausole che escludono o limitano ingiustificatamente l’accesso ai dati. Un approccio che riecheggia la disciplina delle clausole vessatorie, ma traslato nel cuore dell’economia digitale.
Portabilità e switching
I cloud provider devono garantire portabilità dei dati e facilità di migrazione tra servizi. Niente più ostacoli artificiosi per tenere i clienti “in gabbia”.

5. Le sfide operative

• Gestione dei dati misti: Molti dataset prodotti dai dispositivi contengono al tempo stesso dati personali e non personali. Qui si innesta il dialogo (spesso conflittuale) con il GDPR: come garantire il diritto di accesso ai dati IoT senza violare i principi di minimizzazione, limitazione della finalità e sicurezza? Non è un puzzle semplice.
• Estensione extraterritoriale: Se un dispositivo è immesso sul mercato UE, i dati che genera – anche se raccolti fuori UE – rientrano nel campo di applicazione del Data Act. Una scelta coraggiosa, che metterà i produttori globali davanti a un bivio: adeguarsi o rinunciare al mercato europeo.
• Scadenze differenziate: Alcune disposizioni entrano in vigore subito, altre slittano di uno o due anni. Per le imprese, questo significa una compliance “a ondate”, con conseguente difficoltà di pianificazione.
• Contenziosi dietro l’angolo: Qual è il confine tra dato grezzo (obbligatoriamente condivisibile) e dato elaborato (escluso)? Chi decide se una clausola contrattuale è sleale? Domande che finiranno presto davanti ai tribunali, con un ruolo cruciale anche per le Autorità nazionali di vigilanza.

6. Perché ne vale la pena

Il Data Act non è solo un obbligo. È anche un’occasione:

• Per i consumatori: riduzione dei costi di manutenzione, maggiore libertà di scelta, fine del monopolio sui dati.
• Per le PMI: accesso a dati che prima erano blindati, nuove opportunità di business.
• Per il mercato europeo: più concorrenza, più innovazione, meno dipendenza dai colossi extra-UE.

E, diciamolo con un filo di ironia: finalmente, se il tuo tostapane smart decide di impazzire, potrai portare i dati diagnostici dal tecnico sotto casa, invece di aspettare due settimane per un ticket con l’assistenza globale.

7. Cosa fare adesso: i consigli operativi per aziende e professionisti

L’entrata in applicazione del Data Act non è un fulmine a ciel sereno, ma chi si farà trovare impreparato rischierà di pagarla cara. E non solo in termini di sanzioni: il vero rischio è restare tagliati fuori da un ecosistema che si muove sempre più verso la valorizzazione dei dati come asset competitivo. Ecco, dunque, i punti chiave che imprese, DPO e consulenti legali dovrebbero tenere in agenda.

• Audit dei contratti e delle clausole
• Serve una revisione capillare di tutti i contratti connessi alla produzione, distribuzione e gestione dei dati. Le clausole che limitano l’accesso, pongono vincoli sproporzionati o impediscono la portabilità rischiano la nullità.
• Attenzione soprattutto ai contratti B2B: la Commissione UE ha segnalato che le pratiche sleali di esclusione o sfruttamento dei dati saranno oggetto di controllo serrato. Meglio correggere ora che discutere domani davanti a un giudice.
• Progettazione e riprogettazione “by design”
• Le imprese devono integrare nei prodotti IoT meccanismi tecnici che permettano agli utenti di accedere ai dati facilmente e senza costi aggiuntivi. Non si tratta di un optional, ma di un requisito legale.
• Questo richiede collaborazione stretta tra team legale, ingegneristico e IT: il rischio è che un bel contratto conforme sia vanificato da un device che, tecnicamente, non consente alcun download dati.
• Formazione e cultura interna
• Serve un vero e proprio “data act mindset” in azienda. Non basta aggiornare i contratti: bisogna spiegare a marketing, product manager e customer care che i dati non sono più un feudo blindato.
• Coinvolgere i DPO è essenziale: molti dataset IoT sono misti (personali e non personali), e solo una visione integrata GDPR + Data Act può evitare errori grossolani.
• Strategia di governance dei dati
• Non limitarsi al rispetto della legge: il Data Act può diventare un volano competitivo. Le aziende che sanno gestire i dati in modo trasparente e aperto possono proporre servizi nuovi, costruire alleanze con partner, attrarre clienti più consapevoli.
• Una governance matura significa definire policy di accesso, standardizzare i formati, predisporre API, ma anche prevedere meccanismi di sicurezza e accountability.
• Preparazione a scenari di contenzioso
• Inevitabile: produttori e terzi non saranno sempre d’accordo su cosa rientri nell’obbligo di condivisione. Conviene attrezzarsi fin da subito con modelli di risoluzione delle controversie, clausole arbitrali o ADR, per non trasformare ogni richiesta in una battaglia legale.

8. Conclusione

Il Data Act non è l’ennesimo regolamento europeo che resterà sulla carta: tocca il cuore del business di chi produce e gestisce dispositivi connessi, e lo fa con un approccio chirurgico. Non è un “consiglio” ma un obbligo, e la sua applicazione partirà davvero dal 12 settembre 2025.
Il messaggio politico è chiarissimo: i dati appartengono a chi li genera, non a chi li custodisce. Per anni abbiamo accettato il paradosso di comprare oggetti che lavoravano per noi ma consegnavano i frutti del loro lavoro solo al produttore. Oggi l’Unione europea ribalta la prospettiva, e lo fa con uno strumento giuridico vincolante.
Certo, i problemi non mancheranno: la distinzione tra dato grezzo e dato elaborato, il coordinamento con il GDPR, l’adeguamento dei dispositivi già sul mercato. Ma l’alternativa non è più sul tavolo.
Chi vede il Data Act come un fardello burocratico sbaglia prospettiva. È piuttosto un test di maturità per l’economia digitale europea: chi si adegua con intelligenza non solo sarà conforme, ma potrà sfruttare un vantaggio competitivo.
Chi invece lo ignora rischia di trovarsi come il produttore che scopre troppo tardi che il suo cliente ha già portato i dati dal concorrente di fronte.
E qui l’ironia si impone: il Data Act è un ospite che non puoi cacciare di casa. O gli prepari una stanza e lo trasformi in un alleato strategico, oppure te lo ritrovi a dormire sul tappeto, pronto a ricordarti ogni giorno che ti sei dimenticato di fare i compiti.

Formazione per professionisti

Master in Cybersecurity e compliance integrata
Il Master è un percorso formativo avanzato per imprese e pubbliche amministrazioni, professionisti, DPO e consulenti legali che operano nel settore della sicurezza informatica e della governance normativa delle tecnologie digitali.
L’obiettivo del programma è fornire una visione sistematica e integrata della normativa europea e italiana in materia di cybersicurezza, affrontando in chiave applicativa gli step degli adempimenti richiesti, e la complessa interazione delle normative di riferimento, dalla Direttiva NIS 2 al GDPR, alla regolamentazione dei sistemi di intelligenza artificiale, passando per i regolamenti complementari e gli atti attuativi nazionali.
Attraverso un approccio teorico-pratico, il Master esplora: 
•  L’evoluzione della strategia europea di cybersicurezza
•  L’impianto della Direttiva NIS 2 e il D.lgs. 138/2024, con approfondimento su soggetti obbligati, misure tecniche e regimi sanzionatori
•  Il perimetro nazionale di sicurezza cibernetica e la Legge n. 90/2024 come strumenti di difesa strategica dello Stato
•  Le interazioni con normative chiave come il GDPR, il Cybersecurity Act, il Digital Operational Resilience Act (DORA) e il Cyber Resilience Act (CRA)
•  Il nuovo AI Act, che disciplina lo sviluppo, l’uso e il controllo dei sistemi di intelligenza artificiale in Europa
•  Ruoli e poteri dell’ACN: atti attuativi e misure tecniche
•  Le responsabilità aziendali e degli amministratori, la governance interna della cybersicurezza e le strategie di compliance integrata
Il percorso è arricchito da esempi pratici, simulazioni di audit, check list operative e riferimenti normativi aggiornati, utili per implementare con efficacia le disposizioni di legge nei diversi contesti organizzativi.
>>>Per info ed iscrizioni<<<

Vuoi ricevere aggiornamenti costanti?

Salva questa pagina nella tua Area riservata di Diritto.it e riceverai le notifiche per tutte le pubblicazioni in materia. Inoltre, con le nostre Newsletter riceverai settimanalmente tutte le novità normative e giurisprudenziali!