Data Act: le principali novità introdotte dal Regolamento

Data Act: le principali novità introdotte dal Regolamento
In data 12 settembre 2025 è divenuto pienamente applicabile il Regolamento UE 2023/2854 dell’Unione Europea, c.d. Data Act, che, unitamente al GDPR (“General Data Protection Regulation”), al DGA (“Data Governance Act”) e al DMA (“Digital Martket Act”) costituisce un pilastro fondamentale della digital strategy europea, con l’obiettivo di proporre un quadro completo di gestione dei dati, anche non personali, e di introdurre norme chiare per l’accesso e l’uso dei dati generati in UE in relazione a nuovi prodotti e servizi correlati.
Il Data Act non sostituisce o modifica il GDPR per ciò che riguarda dati personali: le norme di protezione della privacy restano vigenti e prevalgono quando applicabili.
Quali le principali novità normative portate dal Data Act?
Diritto di accesso ai dati generati da prodotti connessi
Agli utenti (sia imprese sia consumatori) è riconosciuto il diritto di accedere ai dati (“use generated data”) generati dall’uso dei loro dispositivi connessi (IoT) e dai servizi correlati, con maggior controllo e possibilità di scelta su quali dati condividere, con chi, e con quali limiti.
Limitazione all’uso di clausole abusive nei contratti B2B
Nei contratti B2B diventano vietate o soggette a rigide condizioni clausole contrattuali abusive o termini che impongono squilibri tra parti con differente potere negoziale, quali tipicamente occorrono nei contratti tra internet provider e piccole imprese. Sono, inoltre, previsti obblighi di trasparenza, correttezza e condizioni non discriminatorie per i termini di accesso ai dati.
“Access by design” / interoperabilità
È previsto che dispositivi e servizi vengano progettati per facilitare la portabilità dei dati, lo switch tra fornitori di servizi (es. cloud), e l'interoperabilità tra formati.
Richieste di dati da parti pubbliche in situazioni eccezionali
In casi come emergenze pubbliche (per esempio, pandemie e disastri naturali), le autorità pubbliche potranno richiedere l’accesso a dati detenuti dal settore privato, con talune limitazioni di tempo e scopo, secondo criteri di proporzionalità, e in alcuni casi senza previsione di compenso.
Protezione dei segreti commerciali / riservatezza / concorrenza
È, inoltre, meglio definita la nozione di segreto commerciale mediante requisiti dedicati all’applicazione di misure di sicurezza.
Applicazione graduale/fasi diverse
È prevista un’applicazione graduale e progressiva delle norme del Data Act; per esempio, l’obbligo di fornire accesso tecnico per nuovi dispositivi sarà applicabile ai dispositivi messi in commercio dopo il 12 settembre 2026; il divieto di clausole abusive sarà pienamente applicabile dal 12 settembre 2027 per alcune categorie di contratti.
Il Data Act stabilisce norme armonizzate su accesso equo ai dati e sul loro utilizzo, promuove un ecosistema digitale europeo più equo, competitivo e trasparente e mira a redistribuire il valore dei dati tra tutti gli attori coinvolti e a offrire un concreto supporto all’innovazione e all’intelligenza artificiale.
In tale scenario, è fondamentale che le aziende che producono o usano dispositivi connessi (IoT), offrono servizi cloud, o gestiscono grandi flussi di dati generati automaticamente provvedano a una compiuta mappatura dei dati generati e delle condizioni contrattuali utilizzate con utenti e terzi, per comprendere e accogliere gli importanti cambiamenti per le aziende operanti nell’UE che l’introduzione del Data Act porta con sé.