Il Regolamento (UE) 2023/2854, noto come Data Act, entrerà in applicazione il 12 settembre 2025.
Ne abbiamo parlato, high-level, nella nostra ultima newsletter e nonostante manchino solo due giorni, gran parte delle imprese europee – comprese molte PMI italiane – sembrano non essersi accorte dell’impatto che questa normativa su molte realtà aziendali.

Eppure, il Data Act rappresenta una delle riforme più incisive degli ultimi anni nella gestione dei dati (personali e non) nell’Unione Europea, al pari del GDPR.

Perché il Data Act?

Viviamo in un’epoca in cui i prodotti connessi (auto intelligenti, dispositivi IoT, macchine industriali, elettrodomestici smart) generano una mole immensa di dati. Ma chi controlla quei dati? A oggi, molto spesso, restano nelle mani dei produttori o dei grandi operatori digitali.

Il legislatore europeo ha deciso di ribaltare questa logica:

  • I dati appartengono all’utente che li genera.
  • L’utente deve poterli ottenere facilmente, senza costi, in formato leggibile.
  • L’utente deve poterli condividere liberamente con terze parti (altri fornitori, concorrenti, startup innovative).

Il Data Act vuole dunque democratizzare l’accesso ai dati, evitando monopoli e riequilibrando i rapporti contrattuali.

I contenuti principali della norma

  1. Accesso by design e by default: i dispositivi connessi dovranno consentire l’estrazione dei dati nativamente.
  2. Tutela dalle clausole abusive: il regolamento protegge in particolare le PMI da condizioni contrattuali imposte unilateralmente dai giganti del settore.
  3. Sicurezza e sovranità: limiti all’accesso da parte di Paesi terzi, per proteggere i dati non personali dall’extraterritorialità (si pensi al Cloud Act statunitense).
  4. Interoperabilità: sistemi e servizi cloud dovranno garantire la portabilità dei dati e la compatibilità con diversi provider.
  5. Eccezioni per le PA: gli enti pubblici potranno richiedere dati alle imprese solo in circostanze eccezionali (ad esempio per calamità o emergenze sanitarie).

Relazione con il GDPR

Un punto che spesso genera confusione e che è necessario chiarire bene: il Data Act non sostituisce il GDPR.

  • Quando si tratta di dati personali, il GDPR resta la normativa primaria e prevalente.
  • Il Data Act si applica in aggiunta, disciplinando soprattutto i dati non personali e i rapporti contrattuali e di mercato tra attori economici.

In altre parole: il GDPR tutela la privacy individuale; il Data Act regola il potere economico dei dati.

Esempi pratici:

  • Automotive: dati di velocità e pressione gomme = non personali → Data Act.
    Dati GPS associati al conducente = personali → GDPR + Data Act.
  • Wearable (smartwatch): dati sul battito cardiaco associati a un utente = personali → GDPR, ma la portabilità tecnica è garantita anche dal Data Act.
  • Macchine industriali: log tecnici = non personali → Data Act.

Il Data Act non nasce come normativa di protezione dei dati personali (questo è il ruolo del GDPR).
Nasce per disciplinare l’accesso, l’uso e la condivisione dei dati generati da dispositivi e servizi, indipendentemente dal fatto che siano personali o meno. Quando i dati sono personali, le due normative si applicano in parallelo, e il Data Act non può derogare al GDPR.

Articolo 37: obblighi anche per le entità non UE

Un aspetto cruciale e spesso ignorato riguarda l’applicabilità extraterritoriale del Data Act.
L’articolo 37 stabilisce infatti che il regolamento non riguarda solo le imprese stabilite nell’Unione, ma anche quelle extra-UE che offrono prodotti connessi o servizi digitali sul mercato europeo.

  • Obbligo di rappresentante legale: secondo l’art. 37.11, ogni entità non UE deve designare un rappresentante legale in uno Stato membro, incaricato di cooperare con le autorità europee.
  • Responsabilità piena: l’art. 37.12 chiarisce che il rappresentante può essere indirizzato direttamente dalle autorità, ma la responsabilità resta sempre in capo all’impresa non UE.
  • Competenza giurisdizionale: per effetto dell’art. 37.13, lo Stato membro in cui è stabilito il rappresentante legale diventa competente a vigilare sull’impresa extra-UE, senza precludere ulteriori azioni legali.
  • Poteri di indagine: l’art. 37.14 attribuisce alle autorità nazionali il diritto di chiedere agli utenti, titolari o destinatari dei dati (o ai loro rappresentanti) tutte le informazioni necessarie per verificare la conformità.

👉 In sintesi, le aziende non europee che intendono operare nell’UE non possono ignorare il Data Act: saranno pienamente soggette agli stessi obblighi e sanzioni delle imprese stabilite in Europa.

Impatti concreti sulle imprese

Il Data Act non è un mero adempimento formale, ma comporta un ripensamento strutturale:

  • i sistemi IT dovranno garantire accessibilità ai dati;
  • i contratti con clienti e fornitori dovranno essere rivisti e corretti;
  • i modelli di business basati su dati esclusivi dovranno evolvere in chiave collaborativa;
  • sarà necessario integrare policy interne con procedure di gestione e condivisione dati conformi al nuovo quadro UE.

Proviamo a fare qualche esempio concreto di impatto sulle aziende.

SettoreEsempi di aziendeTipologia di dati generatiImpatti del Data Act
Manifattura / Industria 4.0Siemens, Comau, ABB, Caterpillar, CNH IndustrialLog macchine, dati di performance, manutenzione predittivaObbligo di dare accesso ai clienti/utenti ai dati industriali, possibilità di condividerli con terze parti (es. manutentori indipendenti).
Automotive e mobilitàTesla, Volkswagen, Stellantis, BMW, PiaggioDati di guida, geolocalizzazione, batteria, diagnosticaProprietari e officine indipendenti potranno richiedere dati senza restrizioni imposte dal costruttore grazie alla volontà del proprietario del veicolo.
Sanità e dispositivi medicaliPhilips Healthcare, Siemens Healthineers, GE Healthcare, Medtronic, EsaoteDati clinici, diagnostici, log tecniciOspedali e pazienti avranno diritto a copie e portabilità, con interoperabilità verso altri sistemi sanitari.
Smart home e domoticaBosch, Whirlpool, Electrolux, Miele, Amazon Alexa, Google Nest, Apple HomePodDati di utilizzo degli elettrodomestici e dei sistemi smartGli utenti potranno accedere ai propri dati e trasferirli su piattaforme concorrenti.
Agritech e macchine agricoleJohn Deere, New Holland, Argo TractorsDati di coltivazioni, sensori, macchine agricoleAgricoltori non più dipendenti esclusivamente dai costruttori: accesso e condivisione libera dei dati dei campi/macchinari.
Cloud e servizi digitaliAWS, Microsoft Azure, Google Cloud, OVHcloudDati aziendali, servizi applicativi, ambienti ITObbligo di portabilità, interoperabilità, rimozione penali di uscita, protezione da accessi extra-UE.
Elettronica di consumo / wearableApple, Samsung, Huawei, Fitbit, GarminDati di salute, sport, geolocalizzazioneL’utente potrà scaricare e condividere i dati con assicurazioni, medici o terzi senza vincoli tecnici o contrattuali.

Focus: Nella tabella proposta, potete notare ad esempio che nel settore automotive “proprietari e officine indipendenti potranno richiedere dati senza restrizioni imposte dal costruttore”. Affermazione corretta come principio generale, ma va sfumata perché il Data Act introduce diritti ampi ma non assoluti. Infatti:

  1. Accesso ai dati per gli utenti
    • L’utente finale (il proprietario o utilizzatore del veicolo) ha diritto ad accedere ai dati generati dal prodotto connesso.
    • L’utente può condividerli con terze parti (es. officine indipendenti, assicurazioni, sviluppatori di app).
  2. Condizioni e limiti
    • Il costruttore non può bloccare o limitare ingiustificatamente l’accesso.
    • Tuttavia, l’accesso deve avvenire in condizioni eque, ragionevoli e non discriminatorie.
    • Non è previsto un “libero accesso totale”: il costruttore può applicare misure tecniche per garantire sicurezza, tutela della proprietà intellettuale e rispetto della normativa (es. dati sensibili legati alla sicurezza del veicolo).
  3. Ruolo delle terze parti (es. officine indipendenti)
    • Possono accedere ai dati solo se autorizzate dall’utente (il proprietario del veicolo).
    • Non possono pretendere accesso diretto bypassando il consenso dell’utente.
    • Devono rispettare eventuali accordi di riservatezza e le norme sul trattamento dei dati (in caso di dati personali → GDPR).

Quindi, nella pratica:

⚠️ No: non significa che le officine avranno un diritto diretto e illimitato di accesso ai server del costruttore. L’accesso passerà sempre dalla volontà e autorizzazione del cliente/utente.

: il proprietario potrà chiedere i dati e condividerli con un’officina indipendente.

: il costruttore non potrà più creare barriere contrattuali o tecniche ingiustificate.

Come cambia la responsabilità sui segreti commerciali con il Data Act

Con il Data Act, la responsabilità sulla gestione e protezione dei segreti commerciali cambia radicalmente: le aziende devono identificare in modo puntuale quali dati costituiscono segreti commerciali, implementare misure tecniche e legali specifiche per mantenerli riservati e possono opporsi alla loro divulgazione solo in presenza di rischio concreto di danno economico.

Nuovi obblighi per il titolare dei dati

  • Occorre identificare formalmente i dati che rappresentano segreti commerciali e adottare misure ragionevolmente adeguate a mantenerli segreti (come NDA, controlli di accesso, protocolli di sicurezza e codici di condotta).

In caso di richiesta di accesso, il titolare dei dati deve valutare se la condivisione comporti un rischio rilevante per i segreti commerciali; se sì, può rifiutare la condivisione, motivando per iscritto la decisione e informando prontamente l’autorità competente.

Se l’accesso ai dati viene autorizzato, la responsabilità di mantenerne la riservatezza deve essere condivisa anche con eventuali terzi, attraverso misure contrattuali e tecniche proporzionate. È prevista la possibilità di sospendere o bloccare la condivisione se l’utente o il terzo viola le misure concordate.

Sanzioni e rischi legali: cosa succede se non ci si adegua

Il Data Act è un regolamento vincolante e direttamente applicabile in tutti gli Stati membri dal 12 settembre 2025.

Chi non si adegua corre rischi concreti e multipli:

  • Sanzioni amministrative: gli Stati membri devono prevedere multe effettive, proporzionate e dissuasive (sulla scia del modello GDPR).
  • Inadempimenti contrattuali: clausole abusive o restrittive potranno essere considerate nulle, con rischio di contenziosi.
  • Responsabilità reputazionale: non garantire l’accesso ai dati mina la fiducia di clienti e partner.
  • Vantaggio competitivo perso: chi non implementa sistemi interoperabili rischia di essere escluso dal nuovo mercato unico dei dati.

Come sempre, il costo dell’inazione sarà molto più alto di quello dell’adeguamento.

Non rimanere indietro: affidati a Findata

Il Data Act non è un adempimento da spuntare in fretta e furia, ma un cambio di paradigma che può trasformarsi in un’opportunità strategica. Se però ti senti disorientato, se non sai da dove partire o temi di non essere pronto entro, non sei solo.

👉 Noi di FinData aiutiamo le aziende a tradurre la complessità normativa in soluzioni pratiche:

  • analizziamo il tuo livello di preparazione,
  • costruiamo insieme una roadmap di adeguamento,
  • ti supportiamo nel trasformare la compliance in un vantaggio competitivo da comunicare a clienti e partner.

📩 Contattaci: il momento di agire è adesso. Con Findata, il Data Act non sarà un problema, ma una leva per crescere.