Il Data Act è una normativa che è un caso più unico che raro, a partire dall’infelice scelta della terminologia utilizzata dal legislatore e dalla scarsa professionalità di alcuni consulenti.

L’effetto di questi errori da parte del legislatore è paradossale: una consistente fetta di aziende non sa di essere soggetta agli adempimenti previsti da questa normativa.

Ecco tutti gli errori nel Data Act.

Cos’è il Data Act

Il Data Act è una normativa articolata, che tratta diversi argomenti e che è pienamente applicabile dal settembre 2025, ma qui ci concentriamo sui prodotti connessi.

Il testo della normativa fa riferimento ai dispositivi connessi come a dispositivi IoT, e anche la documentazione ufficiale sembra percorrere tale strada.

Negli ultimi anni si è registrata una rapida crescita della disponibilità di prodotti connessi a Internet (“prodotti connessi”) sul mercato europeo.

Questi prodotti, che insieme compongono una rete nota come Internet-of-things (IoT), aumentano significativamente il volume di dati disponibili per il riutilizzo nell’UE.

Ciò rappresenta un enorme potenziale di innovazione e competitività nell’UE.

Quindi chi non ha, produce, commercializza un prodotto connesso a Internet sembrerebbe non rientrare nell’ambito di applicazione della normativa.

Se ci si limita a leggere questo testo, come si presume abbiano fatto molti consulenti che parlano e scrivono di Data Act sembrerebbe di sì.

Ma la verità è un’altra se si ha l’accortezza di leggere il testo ufficiale della normativa, l’unico testo che conta e a cui fare riferimento.

In realtà, anche chi ha realizzato la pagina ufficiale che illustra il Data Act ha ignorato questa semplice regola.

Cosa dice il testo di della normativa

È utile riportarlo in entrambe le lingue (italiano ed inglese), in modo tale che sia più chiaro il punto da cui nasce l’equivoco:

“(14) Fatta eccezione per i prototipi, i prodotti connessi che ottengono, generano o raccolgono, mediante i loro componenti o sistemi operativi, dati relativi alle loro prestazioni, al loro uso o al loro ambiente e che sono in grado di comunicare tali dati tramite un servizio di comunicazione elettronica, una connessione fisica o l’accesso su dispositivo, spesso denominati «internet delle cose», dovrebbero rientrare nell’ambito di applicazione del presente regolamento”.

Il confronto con il testo in inglese

“14) Connected products that obtain, generate or collect, by means of their components or operating systems, data concerning their performance, use or environment and that are able to communicate those data via an electronic communications service, a physical connection, or on-device access, often referred to as the Internet of Things, should fall within the scope of this Regulation, with the exception of prototypes”.

La definizione di prodotti connessi nel Data Act

Il testo di legge parla effettivamente di dispostivi IoT quando parla di prodotti connessi, ma per il Data Act, un prodotto connesso, e quindi un dispositivo IoT è tale se:

• ottengono, generano o raccolgono, mediante i loro componenti o sistemi operativi, dati relativi alle loro prestazioni, al loro uso o al loro ambiente e che sono in grado di comunicare tali dati tramite un servizio di comunicazione elettronica, una connessione fisica o l’accesso su dispositivo, mediante i loro componenti o sistemi operativi, dati: relativi alle loro prestazioni; al loro uso ; al loro ambiente;
• e che sono in grado di comunicare tali dati tramite: un servizio di comunicazione elettronica; una connessione fisica; l’accesso su dispositivo.

Cos’è un un dispositivo connesso (Iot) nella normativa

In altre parole, per il Data Act un dispositivo connesso (Iot) non è un dispositivo necessariamente connesso a Internet, ma può essere anche un dispositivo totalmente isolato dal resto del mondo, purché sia in grado di accedere ai dati che ha generato o raccolto.

Gli errori nel Data Act

Le conseguenze della definizione per i dispositivi IoT da parte del Data Act, oltre che andare contro la logica ed il senso comune, amplia a dismisura il perimetro delle aziende che dispongono di dispositivi di questo tipo.

Peraltro, non entro nel merito circa l’applicazione di tale definizione a un pc. Basti considerare che il Data Act esclude tali dispositivi quando sono usati per terzi.

“(16) …Il presente regolamento non dovrebbe inoltre applicarsi ai dati ottenuti, generati o consultati dal prodotto connesso, o ad esso trasmessi, a fini di archiviazione o altre operazioni di trattamento per conto di altre parti diverse dall’utente, come nel caso di server o infrastrutture cloud gestiti dai rispettivi proprietari interamente per conto di terzi, anche per uso da parte di un servizio online”.

Se la discriminante per l’inapplicabilità della norma a tali dispositivi è il loro uso per parti diverse dall’utente, è logico pensare che rientrino nella sua applicazione se si usano per conto dell’utente.

La responsabilità delle singole figure coinvolte

Analizziamo ora la responsabilità delle singole figure coinvolte in quello che è, probabilmente, uno dei maggiori errori nella interpretazione del perimetro applicativo di una norma degli ultimi tempi.

Il legislatore ci ha messo del suo, inserendo in un testo normativo un termine di uso comune, come IoT, estendendone arbitrariamente la sua portata includendo anche prodotti che non sono affatto connessi a Internet.

Del resto, non è la prima e non sarà l’ultima delle scelte infelici nella definizione dei termini che portano ad interpretazioni del tutto fuori luogo.

Il caso dei DPS e del GDPR: altri errori normative

Chi non ricorda il DPS da redigere ai sensi del d. Lgs 196/03, il quale richiedeva la compilazione dell’elenco dei trattamenti? In realtà quello che si chiedeva era la compilazione di un elenco delle finalità dei trattamenti, in quanto un trattamento è un termine ben definito all’interno della normativa privacy che indica un’azione svolta sui dati (consultazione, archiviazione ecc.).

Questo ha fatto sì che una primaria associazione di categoria, proponesse ai propri associati, un modello di DPS nel quale effettivamente tale adempimento si assolveva semplicemente barrando i singoli possibili trattamenti.

Lo stesso errore è stato fatto dal legislatore nel GDPR, dove si richiede la compilazione di un registro dei trattamenti, quando, in realtà, anche in questo caso ciò che viene richiesto è un registro delle finalità di trattamento.

Oltre gli errori, l’importante è l’obiettivo del Data Act

Anche chi dovrebbe fornire consulenza sul Data Act, o presentarlo in modo corretto, anche sulle pagine delle varie riviste cartacee o online non è esente da colpe.

Come nel mio precedente articolo, “Le parole della privacy: valutare la competenza dei consulenti attraverso terminologia e comportamenti“, l’interpretazione che verrà data da uno specifico consulente sarà sintomatica del suo approccio alle normative.

Quindi ben venga il Data Act se permetterà a qualche azienda o a qualche lettore di discriminare meglio tra i propri fornitori.