Manca pochissimo al 12 settembre 2025, momento in cui il Data Act diventerà applicabile in tutta l’Unione Europea. Un passaggio normativo che promette di ridefinire le regole del gioco nell’economia dei dati, recando altresì dubbi interpretativi e il rischio di cantonate.

Difatti il Data Act non è (solo) una normativa da “subire”, può invece essere un’opportunità da governare strategicamente. Le aziende che riusciranno a integrare e sfruttare i principi di accessibilità e portabilità dei dati nei propri modelli di offerta saranno quelle che guadagneranno margini e competitività nel nuovo scenario europeo.

Gli utenti potrebbero inoltre acquisire maggiore controllo di molti dei dati che contribuiscono a co-generare, potendo persino monetizzarne l’uso. Di fatto, potrebbe avere una portata superiore a quella del più chiacchierato AI Act, andando a toccare proprio i dati che ne sono il presupposto imprescindibile.

Per capire meglio, passiamo in rassegna di seguito alcuni errori da evitare per accogliere più preparati questa novità, basati anche sul “sentito dire” o post non del tutto corretti. Si tratta di indicazioni di massima, per chiarirsi alcune idee, rinviando ad altre sedi per approfondimenti più puntuali[1].

ABC del Data Act

Due parole riepilogative di massima, solo per introdurre i concetti più basilari ai lettori meno avvezzi: trattiamo qui del Regolamento (UE) 2023/2854, noto come Data Act, entrato in vigore (con pubblicazione in G.U. dell’Unione) l’11 gennaio 2024, non certo un fulmine a ciel sereno.

Si tratta di un essenziale pilastro della strategia europea per i dati, affiancandosi e completando il cerchio delineato dal già operativo e sottovalutato Data Governance Act (Regolamento (UE) 2022/868).

Se quest’ultimo regola “come” condividere volontariamente i dati, il Data Act stabilisce “chi” può accedere ai dati generati dai prodotti connessi e a quali condizioni, con l’obiettivo di creare un mercato più equo e competitivo.

L’impatto sarà trasversale e toccherà un’ampia gamma di settori: dai produttori di automobili connesse e macchinari industriali (IoT) ai fornitori di servizi cloud, fino alle piccole e medie imprese che offrono servizi di riparazione o manutenzione.

Con l’avvicinarsi della scadenza è fondamentale fare chiarezza su alcuni punti spesso fraintesi: sarebbe erroneo sia pensare di non essere soggetti alla norma così come sovrastimare la sua portata – altrettanto sarebbe una perdita non cogliere alcuni opportunità inedite riservate da quella che potrebbe, nelle intenzioni, essere una svolta per determinati operatori e utenti.

Errore n.1: “Il Data Act è un nuovo GDPR, diretto alla tutela dei diritti delle persone”

Questa è forse la cantonata più comune e pericolosa. Associare il Data Act a un “GDPR-bis” significa fraintenderne completamente la natura, gli obiettivi e, di conseguenza, le azioni necessarie per conformarsi.

Per capire la differenza, possiamo usare un’analogia: il GDPR è come uno scudo. Il suo scopo fondamentale è difensivo: proteggere un diritto fondamentale della persona fisica, quello alla privacy e alla protezione dei propri dati personali.

Pone limiti, impone cautele, definisce cosa non si può fare (o cosa si può fare solo a determinate condizioni, come il consenso esplicito) per tutelare l’individuo. La sua logica è incentrata sulla persona e sui suoi diritti.

Il Data Act, al contrario, si può vedere come un motore. Il suo scopo è proattivo ed economico: accendere l’economia europea dei dati, sbloccare il potenziale industriale e competitivo racchiuso nei dati generati da milioni di dispositivi connessi.

Non nasce per proteggere un diritto fondamentale della persona, al più per restituire il controllo e il potere di scelta all’utente dei dati, nonché per creare un mercato più equo, innovativo e competitivo.

Definisce chi ha il diritto di accedere e utilizzare i dati generati dal prodotto e a quali condizioni, per stimolare nuovi servizi e modelli di business. La sua logica è pertanto incentrata sul mercato e sulla concorrenza.

Il vero banco di prova per le aziende sarà la gestione dei dati “misti”. Immaginiamo un’automobile connessa. I dati generati includono:

• dati non personali: per es. pressione delle gomme, temperatura dell’olio, usura dei freni;
• dati personali: per es. posizione GPS degli ultimi viaggi, stile di guida (accelerazioni, frenate brusche), musica ascoltata tramite l’infotainment.

Cosa succede quando il proprietario dell’auto (l’utente, secondo il Data Act) chiede di condividere tutti i dati diagnostici con la sua officina di fiducia (una terza parte)?

L’utente ha il diritto di richiedere l’accesso e la condivisione di tutti questi dati. Il produttore dell’auto, in quanto titolare dei dati (data holder), è obbligato a fornirli.

Poiché il dataset include dati personali (GPS, stile di guida), il produttore deve assicurarsi che vi sia anche una base giuridica valida per questo trasferimento, come previsto dal GDPR. In questo caso, la base è fornita proprio dall’obbligo legale imposto dal Data Act stesso (art. 6.1.c GDPR).

Se l’officina di fiducia volesse usare i dati GPS per inviare pubblicità personalizzata al guidatore, andrebbe oltre lo scopo per cui i dati sono stati condivisi (la riparazione). A questo punto, il GDPR tornerebbe a essere lo “scudo”, proteggendo l’individuo da un uso secondario e non autorizzato dei suoi dati personali.

Qualsiasi clausola del Data Act che entrasse in conflitto con i principi del GDPR (minimizzazione, limitazione della finalità) sarebbe inapplicabile. Il Data Act crea un proprio diritto di accesso generale ai dati il GDPR ne governa l’esercizio solo quando sono in gioco dati personali.

In sintesi, non si tratta di scegliere tra uno e l’altro. Le aziende dovranno indossare due cappelli: quello del titolare del trattamento, custode attento alla protezione dei dati personali (GDPR), e quello del titolare dei dati, facilitando un efficiente e trasparente accesso a tutti i dati (Data Act). Ignorare uno dei due regolamenti, o pensare che uno sostituisca l’altro, sarebbe un grave errore concettuale, con relative sanzioni a cui esporsi.

Errore n.2: “Tutti i dati generati da un dispositivo devono essere condivisi con l’utente e terzi”

Questa è una delle paure più diffuse tra i produttori e, sebbene comprensibile, è infondata.

Il Data Act non è un “esproprio” indiscriminato di dati; al contrario, il legislatore europeo ha inserito meccanismi di salvaguardia molto precisi per bilanciare il diritto di accesso dell’utente con la necessità di proteggere gli investimenti, l’innovazione e la proprietà intellettuale delle aziende.

L’obbligo di condivisione ha confini ben definiti.

Il regolamento esclude esplicitamente dall’obbligo di condivisione i dati che sono il risultato di un arricchimento significativo da parte del produttore. Partendo dai dati grezzi si arriva a delle conclusioni, delle inferenze ed elaborazioni che il produttore trae da essi, attraverso i propri algoritmi e processi di trattamento dati.

Per es. un produttore di pneumatici connessi raccoglie dati grezzi come pressione, temperatura e velocità di rotazione: questi dati devono essere condivisi.

Nondimeno se il produttore utilizza un algoritmo complesso, frutto di R&D, per analizzare milioni di chilometri percorsi e creare un indice predittivo di usura che stima la vita residua del pneumatico con un’accuratezza del 99%, questo indice è un “dato ricavato”. È la “ricetta segreta”, non l’ingrediente base. Pertanto, è escluso dall’obbligo di condivisione.

Poi tocca al confine della protezione dei segreti commerciali, forse il meccanismo di tutela più forte. Se un set di dati richiesto dall’utente contiene informazioni che costituiscono un segreto commerciale (per es. parametri di funzionamento di un macchinario industriale che ne rivelano l’efficienza unica), il produttore non può semplicemente negare l’accesso – può e deve condizionarlo.

La conseguenza pratica di queste tutele è che le aziende non possono più considerare i loro dati come un blocco monolitico. Diventa fondamentale un’attività di classificazione dei dati (data classification) per distinguere con precisione tra dati grezzi (da condividere su richiesta), dati arricchiti/ricavati (esclusi dall’obbligo) e dati contenenti segreti commerciali (da condividere solo previa adozione di misure di protezione).

Questa classificazione non può essere arbitraria. In caso di controversia, spetterà all’azienda dimostrare perché un certo dato è stato classificato come “ricavato” o protetto da segreto commerciale. Non prepararsi a questa mappatura interna significa navigare a vista, con il rischio di condividere troppo (danneggiando il proprio vantaggio competitivo) o troppo poco (incappando in sanzioni).

Possiamo solo accennare qui, infine, al complesso tema delle banche dati: il Data Act introduce una modifica importante alla Direttiva 96/9/CE (Database Directive) che potrebbe avere conseguenze profonde.

La Direttiva, difatti, riconosce un diritto sui generis al costitutore di una banca dati che ha effettuato un investimento “sostanziale” per la sua creazione, permettendogli di vietare l’estrazione o il reimpiego della totalità o di una parte sostanziale del contenuto.

Il Data Act, con l’art. 35, stabilisce che questo diritto sui generis non può essere invocato per impedire a un utente di accedere e utilizzare i dati generati da un prodotto connesso, come previsto dal Data Act stesso.

In parole più semplici, un produttore non potrà più usare la protezione garantita dalla Direttiva Database come scudo per negare l’accesso ai dati generati dai suoi dispositivi IoT. Se un’azienda ha creato un’enorme banca dati raccogliendo le informazioni provenienti da tutti i suoi prodotti connessi, l’investimento fatto per creare e mantenere quel database non le darà il diritto di bloccare la richiesta di un singolo utente di accedere ai “suoi” dati.

Questo intervento normativo è chirurgico e fondamentale: impedisce che una normativa nata per proteggere gli investimenti in aggregazione di dati diventi un ostacolo insormontabile alla liberalizzazione del singolo dato generato dall’utente.

Si tratta di un ulteriore – e non banale – tassello nel complesso mosaico di bilanciamento tra la protezione degli investimenti del produttore e l’affermazione dei nuovi diritti di accesso e portabilità dell’utente.

Errore n.3: “Il Data Act riguarda solo le grandi multinazionali tech”

Pensare che il Data Act sia un problema esclusivo dei colossi dell’hi-tech è un errore di prospettiva. In realtà le PMI non sono solo destinatarie del regolamento bensì ne sono le protagoniste silenziose e le principali beneficiarie. Il Data Act è stato concepito proprio per contrastare gli squilibri di potere nel mercato dei dati, dove le PMI si trovano spesso in una posizione di debolezza. Vediamo come, distinguendo tra protezione e opportunità.

Le PMI spesso subiscono le condizioni contrattuali imposte da partner commerciali molto più grandi. Il Data Act interviene direttamente su questo fronte con due strumenti:

• 1) la “lista nera” delle clausole abusive (art. 13): il regolamento introduce un test di abusività per le clausole relative all’accesso e all’uso dei dati imposte unilateralmente a una PMI. Una clausola è considerata abusiva (e quindi nulla) se si discosta gravemente dalla buona pratica commerciale, in modo contrario alla buona fede e alla correttezza. Ad esempio, sarà considerata abusiva una clausola che:
  • limita o esclude la responsabilità del grande player per dolo o colpa grave;
  • conferisce al grande player il diritto esclusivo di interpretare il contratto;
  • impedisce alla PMI di utilizzare i dati che ha contribuito a generare.

In pratica: una startup che sviluppa un’app per un’auto connessa non potrà più essere costretta a firmare un contratto capestro in cui cede tutti i diritti sui dati generati dall’interazione della sua app con il veicolo.

• 2) Compensazione equa e proporzionata: come già accennato, quando una terza parte (spesso una PMI) chiede l’accesso ai dati, il produttore può chiedere un compenso. Tuttavia, il Data Act stabilisce esplicitamente che se il destinatario dei dati è una PMI, tale compenso non può superare i costi diretti sostenuti per mettere a disposizione i dati. Questo impedisce ai grandi produttori di usare costi di accesso esorbitanti come barriera per tenere fuori dal mercato i concorrenti più piccoli.

Al di là della protezione, il vero potenziale per le PMI risiede nelle opportunità di business che il regolamento sblocca. Il Data Act democratizza l’accesso a una risorsa prima monopolizzata dalle big tech e dei produttori, limitando notevolmente il mercato UE: i dati generati dai prodotti.

Per comprendere la portata potenzialmente rivoluzionaria del Data Act per le piccole e medie imprese, basta immaginare come potranno mutare le dinamiche di mercato in alcuni settori chiave. Si passa da un modello chiuso, un “silos” controllato dal produttore, a un ecosistema aperto dove nuovi attori possono finalmente giocare e competere.

Pensiamo al settore automotive: fino ad oggi, il proprietario di un’auto moderna si è trovato spesso “prigioniero” della rete di assistenza ufficiale. Solo le officine autorizzate dal costruttore potevano accedere alla totalità dei dati diagnostici avanzati, relegando le officine indipendenti a interventi più semplici o a complesse operazioni di reverse engineering.

Con il Data Act, questo paradigma si spezza: su semplice richiesta del cliente, un’officina indipendente potrà ricevere lo stesso flusso di dati della casa madre. Questo le permetterà di offrire servizi proattivi di manutenzione predittiva, competendo finalmente ad armi pari.

In conclusione: ridurre il Data Act a un mero obbligo di conformità per le grandi aziende significa non vederne il cuore pulsante. È lo strumento che permette di passare dal ruolo di semplici “consumatori” di tecnologia a quello di “creatori” di valore basato sui dati, specie per le PMI. È un’opportunità da cogliere per innovare, competere e crescere.

Errore n.4: “Il Data Act riguarda solo prodotti fisici (IoT)”

Questa è una lettura parziale e pericolosamente riduttiva. Sebbene l’Internet of Things sia il punto di partenza, il Data Act dedica un intero capitolo (il sesto) a uno dei pilastri dell’economia digitale: i servizi di cloud e di elaborazione dati. L’obiettivo è scardinare una delle pratiche più criticate del settore: il vendor lock-in, ovvero la difficoltà tecnica e commerciale per un cliente di cambiare fornitore cloud. Il regolamento stabilisce una roadmap precisa e vincolante per la liberazione dei dati.

Per anni molte aziende si sono sentite intrappolate in “prigioni dorate”: hanno scelto un fornitore di servizi cloud e vi hanno costruito sopra la propria infrastruttura digitale. Quando, per ragioni di costo, performance o strategia, hanno valutato di cambiare fornitore, si sono scontrate con diversi ostacoli:

1. costi di uscita (switching fees): tariffe, spesso elevate, sono applicate dal fornitore per il semplice atto di trasferire i propri dati fuori dalla sua piattaforma. Un costo che di fatto funge da pesante penale per chi vuole andarsene;
2. complessità tecnica: incompatibilità tra i servizi dei diversi provider, che costringono a costosi e lunghi processi di riprogettazione delle applicazioni;
3. mancanza di trasparenza contrattuale: clausole poco chiare che rendono difficile pianificare tempi e costi di una migrazione.

Il Data Act oltre a vietare il lock-in impone un percorso graduale e concreto per smantellarlo, con scadenze precise che tutti i fornitori di servizi cloud dovranno rispettare:

• fase 1: trasparenza immediata (dal 12 settembre 2025). I fornitori dovranno essere cristallini nei loro contratti, specificando in dettaglio tutti i costi associati a un’eventuale migrazione. Il cliente deve sapere fin dall’inizio a cosa andrà incontro se deciderà di cambiare;
• fase 2: riduzione progressiva dei costi (dal 12 gennaio 2026): a partire da questa data, i fornitori di servizi cloud dovranno iniziare a ridurre le tariffe per il cambio di fornitore. Non potranno più applicare tariffe piene per il trasferimento dei dati;
• fase 3: abolizione totale (dal 12 gennaio 2027): questa è la data spartiacque. A partire da questa data, tutte le tariffe per il cambio di fornitore (switching fees) saranno completamente azzerate. Il fornitore potrà addebitare al cliente solo i costi vivi sostenuti durante il processo di migrazione, ma non potrà più applicare alcun margine o penale sul trasferimento dei dati.

Questa novità è una vera e propria rivoluzione per chiunque utilizzi servizi cloud, dalle startup alle grandi corporation. Le aziende potranno finalmente scegliere il provider basandosi unicamente su merito, performance e costo del servizio, non sulla paura di rimanere intrappolate. Diventerà molto più semplice e conveniente distribuire il proprio carico di lavoro su più fornitori cloud contemporaneamente (strategia “multi-cloud”), sfruttando i punti di forza di ciascuno e riducendo la dipendenza da un singolo player. Inoltre, con la minaccia del lock-in rimossa, i clienti avranno un potere negoziale superiore, spingendo i fornitori a essere più competitivi e innovativi.

In conclusione, il Data Act ridisegna le fondamenta economiche dell’ecosistema cloud, trasformando un mercato spesso rigido e vincolante in un’arena più fluida, competitiva e, soprattutto, più equa per i clienti. Per le aziende che basano il loro business sul cloud, ignorare queste scadenze significa perdere un’opportunità strategica senza precedenti.

Da ultimo si tenga conto che il Data Act si applica anche ai servizi ancillari ai prodotti che generano i dati, ovvero tutti quei servizi digitali, inclusi i software (anche AI), che sono connessi al prodotto in modo tale che la loro assenza impedirebbe al prodotto di svolgere una delle sue funzioni principali.

In pratica, se un’automobile connessa per funzionare correttamente necessita di un software di gestione o di un’app specifica fornita dal produttore, anche i dati generati da quel software o servizio rientrano nel perimetro del Data Act.

Errore n.5: “Dal 12 settembre 2025 tutto deve essere già perfettamente in regola”

Il Data Act è anzitutto un processo con una timeline ben definita e implicazioni che vanno ben oltre la semplice conformità legale a una data specifica. Ignorare le scadenze progressive e, soprattutto, il principio di “data access by design” significa condannarsi a rincorrere il mercato, con relativi inciampi, invece di tentare di governarlo e sfruttarne le possibilità.

Difatti il regolamento si muove su due binari temporali paralleli, che è fondamentale distinguere:

• 12 settembre 2025: a partire da questa data, scatta l’applicazione generale. Ciò significa che qualsiasi utente di un prodotto connesso (anche uno acquistato anni prima) potrà bussare alla porta del produttore e chiedere l’accesso ai dati generati. Le aziende devono essere pronte a gestire queste richieste: devono avere procedure per identificare l’utente, estrarre i dati richiesti, proteggere i segreti commerciali e trasmettere le informazioni in modo sicuro e in un formato utilizzabile. Questo è l’aspetto di conformità reattiva.
• 12 settembre 2026: questa è la data più strategica e impattante per i produttori. A partire da questo giorno, ogni nuovo prodotto connesso immesso sul mercato europeo dovrà essere progettato in modo da rendere i dati accessibili all’utente “by design and by default”. Non si tratta più di estrarre dati su richiesta da sistemi pensati per tenerli nascosti. Significa ripensare l’architettura stessa del prodotto, sia hardware che software, fin dal primo schizzo. L’accesso ai dati non deve essere un’operazione complessa e macchinosa; invece, deve trattarsi di una funzione nativa, semplice e, ove possibile, diretta per l’utente.

Facciamo un esempio pratico:

• approccio reattivo (pre-2026): il proprietario di una lavatrice smart chiede i dati sui cicli di lavaggio. Il produttore riceve la richiesta via email, un tecnico si collega al database centrale, estrae un file CSV, lo “pulisce” e lo invia al cliente dopo tre giorni;
• approccio by design (post-2026): la nuova lavatrice smart ha una sezione dedicata nella sua app mobile ad hoc. Con un clic l’utente può visualizzare i dati di consumo di ogni ciclo, esportarli in un formato standard (es. in JSON) o autorizzare direttamente dall’app la condivisione con un servizio terzo di analisi dei consumi energetici.

Questo cambiamento impone ai team di R&D di iniziare a lavorare fin da ora, come minimo. Un ciclo di progettazione di un nuovo prodotto può durare anni e aspettare il 2026 per iniziare a pensarci significa essere fuori mercato.

Errore n.6: “Il Data Act si applica solo ai produttori di dispositivi, non ai fornitori di servizi”

È un errore pensare che il Data Act riguardi solo chi “fabbrica cose”. Il regolamento ha un ambito applicativo molto più ampio e che include fornitori di servizi digitali che interagiscono con i dati generati dai prodotti connessi. Questo include per es.:

• fornitori di piattaforme digitali integrate (es. app companion dei dispositivi IoT);
• operatori di servizi di manutenzione predittiva o assistenza remota;
• aggregatori di dati industriali;
• fornitori di software che elabora o visualizza dati provenienti dai prodotti.

Il concetto chiave è chi detiene o controlla l’accesso ai dati (i cosiddetti data holder, i titolari nel senso del Data Act) e chi li utilizza per offrire servizi a valore aggiunto. Anche chi non è il fabbricante, se gestisce l’interfaccia digitale attraverso cui i dati passano o vengono presentati all’utente, allora può ricadere nelle responsabilità previste dal Data Act – per es. nel garantire la portabilità, l’accessibilità, o la sicurezza del trasferimento dati.

Per es. un’azienda che fornisce una dashboard cloud per la visualizzazione dei dati di macchinari industriali (pur non producendo i macchinari) potrebbe rientrare tra i soggetti obbligati a garantire che l’utente finale possa esportare quei dati o condividerli con terzi.

Pertanto, ogni fornitore di servizi digitali dovrà interrogarsi sul proprio modello di business e sul proprio ruolo nella catena del dato. Questo richiede l’identificazione delle responsabilità contrattuali, l’adozione di API standard, e l’adeguamento della propria architettura per supportare i diritti di accesso e trasferimento.

Errore n.7: “Conformarsi al Data Act è solo un costo, non genera ritorni economici”

Una visione miope e conservativa, posto che, in realtà, il Data Act potrebbe diventare un motore di differenziazione competitiva, in grado di generare nuove fonti di ricavi, fidelizzazione e innovazione di servizio. Un produttore di elettrodomestici potrebbe offrire – oltre al prodotto fisico – un servizio cloud per la gestione intelligente del consumo elettrico, in collaborazione con utility energetiche.

Chi sarà in grado di progettare esperienze utente centrate sui dati, trasparenti, sicure e interoperabili, potrà offrire tra l’altro:

• servizi a valore aggiunto, come manutenzione predittiva, benchmarking tra dispositivi, ottimizzazione del consumo energetico, suggerimenti personalizzati di utilizzo;
• modelli di business data-driven, come abbonamenti premium per accesso ad analytics avanzati, piattaforme dati aperte, modelli pay-per-use fondati su indicatori reali;
• partnership strategiche, dato che le aziende più aperte alla condivisione dei dati in maniera controllata potranno costruire ecosistemi digitali più ricchi, coinvolgendo terze parti (startup, centri di ricerca, ecc.) per ampliare l’offerta al cliente finale.

Errore n.8: “Il Data Act non riguarda le relazioni con la Pubblica Amministrazione”

Uno degli aspetti meno discussi ma potenzialmente più dirompenti del Data Act riguarda proprio l’accesso ai dati da parte delle autorità pubbliche, in situazioni specifiche e ben delimitate. Un aspetto che forse pochi operatori privati hanno realmente considerato nei propri piani di compliance.

Il Capo V del regolamento introduce infatti il diritto delle autorità pubbliche (comprese agenzie e organismi dell’UE) di ottenere accesso ai dati detenuti da soggetti anche privati in caso di eccezionale necessità, per finalità di interesse pubblico.

Le condizioni tassative sono le seguenti:

• l’autorità deve dimostrare che non ha accesso ai dati necessari tramite altri mezzi ragionevoli;
• l’accesso deve essere strettamente necessario per rispondere a situazioni di emergenza pubblica, come: catastrofi naturali, pandemie, gravi minacce alla salute pubblica, risposte a eventi su larga scala.

In assenza di emergenze, l’accesso può comunque essere richiesto per interesse pubblico eccezionale, però seguendo procedure rafforzate e motivate.

Per es. in caso di un’alluvione, un ente pubblico potrebbe richiedere in tempo reale dati provenienti da sensori IoT installati su infrastrutture private (ponti, impianti industriali, trasporti) per valutare la stabilità strutturale o coordinare interventi. I produttori o operatori che detengono questi dati saranno legalmente obbligati a condividerli, anche se sono dati non pubblici.

Cosa implica tutto questo per le aziende? Anzitutto bisognerà predisporre canali sicuri e tempestivi per la trasmissione di questi dati alle autorità.Sarà necessario mantenere una documentazione tracciabile delle richieste ricevute e delle risposte fornite. Inoltre,potranno essere richiesti rimborsi per i costi sostenuti, però non un profitto: l’accesso in questi casi è gratuito o limitato al mero costo tecnico.

Molti pensano al Data Act esclusivamente come a uno strumento di riequilibrio commerciale tra privati o al massimo come una norma per tutelare i consumatori. In realtà, introduce anche una nuova forma di collaborazione pubblico-privata obbligatoria, fondata sulla condivisione responsabile dei dati in casi critici.

È un cambio di paradigma che richiama il concetto di “bene comune digitale”, con potenziali impatti tecnici, organizzativi e legali per tutte le imprese e P.A. coinvolte. Oltre che per i cittadini verso cui le P.A. potrebbero riversare gli effetti positivi di tali possibilità.

Errore n.9: “Il Data Act riguarda solo i futuri prodotti, non quelli passati o attuali”

Una delle implicazioni più sorprendenti del regolamento è che il diritto di accesso ai dati da parte degli utenti si applica anche ai prodotti già in uso e già venduti prima del 12 settembre 2025 – a condizione che continuino a generare dati dopo quella data.

Cosa significa in pratica? Un utente che ha acquistato anni fa un dispositivo connesso (es. un trattore smart, un macchinario CNC, uno smartwatch, una stazione meteorologica IoT, un elettrodomestico intelligente), dal 12 settembre 2025 ha il diritto di chiedere l’accesso ai dati che quel dispositivo genera, anche se:

• il prodotto è fuori garanzia;
• il contratto d’acquisto non prevedeva nulla in proposito;
• il produttore non aveva mai pensato a una simile richiesta.

Perché questo è dirompente? Perché obbliga i produttori a “ripensare” i vecchi prodotti e i loro sistemi informatici, oltretutto le infrastrutture di raccolta dati dovranno essere adattate ex post per garantire l’esportabilità. Ciò perché non è previsto un periodo di transizione per questi casi: dal 12 settembre 2025, i dati devono essere messi a disposizione su richiesta, punto.

Per es. una PMI agricola che ha acquistato nel 2021 un sistema di irrigazione smart connesso, potrà – dal 12 settembre 2025 – chiedere lo storico dei dati di irrigazione o l’accesso continuo al flusso dati in tempo reale, per integrarli con una nuova piattaforma di agricoltura di precisione. Il produttore non potrà opporsi, nemmeno se non aveva previsto alcuna API pubblica o interfaccia dati all’epoca.

La maggior parte dei produttori e titolari sta pianificando la conformità del Data Act per i prodotti futuri, a partire dal 2026 (“by design”) – l’obbligo di progettare i prodotti in modo che i dati siano accessibili vale solo per i prodotti futuri, immessi sul mercato dopo il 12 settembre 2026.

Forse la vera urgenza è però organizzare la gestione dei prodotti già in circolazione e ancora attivi: per i prodotti immessi sul mercato prima di tale data, non c’era ovviamente un obbligo di progettarli in quel modo. Tuttavia, se continuano a generare dati dopo il 12 settembre 2025, il diritto dell’utente di richiederli (art. 4) si applica comunque. Questo costringe i produttori a trovare un modo per estrarre e fornire i dati, anche se non era previsto in fase di progettazione.

Si tratta, potenzialmente, di milioni di dispositivi che dovranno essere “abilitati” all’accesso dati su richiesta. E cambia drasticamente i piani di aggiornamento software (anche per prodotti legacy), la gestione delle richieste clienti (service desk, CRM), le strategie post-vendita, le valutazioni sul ciclo di vita dei prodotti.

Errore n.10: “Il Data Act non cambia granché la situazione per utenti, titolari e mercato europei”

Questa è una pericolosa sottovalutazione dell’impatto sistemico del regolamento. Stiamo discorrendo di un intervento strutturale che mira a riequilibrare il potere e a ridefinire le dinamiche competitive dell’intera economia digitale europea.

Ignorarne la portata significa non comprendere il nuovo campo da gioco in cui si opererà.

Il cambiamento è profondo e si articola su tre livelli interconnessi:

• per gli utenti (“empowerment”): l’utente, sia esso un consumatore o un’impresa, cessa di essere un soggetto passivo. Acquisisce un diritto concreto di “proprietà funzionale” sui dati generati, potendo non solo accedervi ma anche disporne, trasferendoli a terzi per ottenere servizi migliori o più economici. È n colpo alla “prigionia informativa” (data lock-in);
• per i titolari dei dati (da guardiani a facilitatori): i produttori e i fornitori di servizi sono costretti a evolvere il loro ruolo. Da “guardiani” gelosi di silos di dati chiusi devono trasformarsi in “facilitatori” di un ecosistema aperto. La competizione non si baserà più sul monopolio del dato: si impernierà sulla capacità di offrire i migliori servizi a partire da quel dato;
• per il mercato europeo (riequilibrio e sovranità): il Data Act è un pilastro della strategia di sovranità digitale europea. Mira a ridurre la dipendenza dai pochi colossi (spesso extra-UE) che oggi controllano i flussi di dati, favorendo la nascita e la crescita di un tessuto di PMI innovative e di un mercato secondario dei dati. È una mossa geopolitica per rendere l’Europa un attore protagonista nell’economia dei dati.

Data Act: la direzione intrapresa

Certo, le criticità non mancano e non mancheranno – per es. la gestione pratica della protezione dei segreti commerciali, la definizione di compensazione “ragionevole” per l’accesso ai dati, o il rischio di contenziosi sulla classificazione dei dati “grezzi” rispetto a quelli “ricavati”.

Tuttavia, la direzione intrapresa è chiara e irreversibile: si va verso un’economia dei dati più aperta, equa e distribuita, dove il valore non è più solo nell’accumulo riservato.

Gli effetti seguiranno – e potrebbero sorprenderci.

Tanto più in un contesto geopolitico come quello attuale dove le normative sui dati potrebbero avere un ruolo altrettanto controverso nei rapporti con gli USA, come già accaduto con GDPR, Digital Services Act, Digital Markets Act e AI Act.

[1] Si permette di rinviare per approfondimenti alla recente pubblicazione del volume “Data act: Regolamento europeo sui dati”, a cura di Luca Bolognini, Enrico Pelino, Marco Scialdone, uscito per Giuffré Francis Lefebvre [qui] – ove è altresì presente un contributo del sottoscritto sul tema dei diritti e doveri di titolari e utenti del Data Act.