Glossario · Regolamento UE sui dati Data Act
Il regolamento UE del 2024 che stabilisce diritti di accesso e utilizzo dei dati generati da dispositivi IoT e prodotti connessi, occupandosi dei dati non personali accanto al focus del GDPR sui dati personali.
## Cosa fa concretamente il Data Act
Il Data Act (Regolamento (UE) 2023/2854) è il regolamento UE che disciplina l'accesso e l'utilizzo dei dati generati da prodotti connessi e servizi correlati. È entrato in vigore a gennaio 2024, con la maggior parte delle disposizioni applicabili da settembre 2025.
Mentre il GDPR si occupa dei dati personali, il Data Act si occupa dei **dati non personali** generati da dispositivi IoT e prodotti connessi. L'Atto crea diritti per gli utenti (consumatori e aziende) di accedere ai dati che i loro dispositivi generano e di condividerli con terzi a loro scelta.
## Perché esiste il Data Act
L'Atto è emerso da preoccupazioni operative sul controllo dei dati nell'economia IoT:
**1. Lock-in dei dati da parte dei produttori.** Quando un'auto connessa genera dati sui modelli di guida, tali dati sono tipicamente controllati esclusivamente dal costruttore. Officine di riparazione, compagnie assicurative e fornitori di servizi after-market non potevano accedervi senza la cooperazione del costruttore.
**2. Concorrenza nei servizi after-market.** L'accesso limitato ai dati ha limitato la concorrenza nei servizi correlati all'IoT (riparazione, assicurazione, gestione delle flotte, ecc.). Il Data Act affronta ciò creando diritti di portabilità dei dati per i prodotti connessi.
**3. Preoccupazioni di politica della concorrenza.** L'integrazione verticale attorno ai dati (produttore → dispositivo → dati → servizi after-market) ha creato preoccupazioni di concorrenza. Il Data Act affronta ciò tramite unbundling.
**4. Esigenze di dati di addestramento per IA.** I sistemi IA beneficiano dell'accesso ai dati operativi. Il Data Act crea quadri giuridici per condividere questi dati con tutele appropriate.
## Obblighi fondamentali
Il Data Act impone diverse categorie di obblighi:
### Diritto di accesso ai dati generati
Gli utenti (le persone o le aziende che operano i prodotti connessi) hanno il diritto di accedere ai dati che i loro dispositivi generano. I produttori devono:
- Rendere i dati accessibili per impostazione predefinita (o su richiesta)
- Fornire i dati in formato leggibile da macchina
- Coprire i dati generati, non solo gli output configurati
- Offrire l'accesso senza costi o a costi equi e ragionevoli
### Diritto di condividere dati con terzi
Gli utenti possono autorizzare terzi a ricevere i dati che i loro dispositivi generano. I produttori devono:
- Consentire tale condivisione senza ostruzione
- Fornire meccanismi di accesso diretto ai dati
- Consentire agli utenti di scegliere liberamente i destinatari dei dati
### Restrizioni alla concorrenza con gli utenti
I produttori non possono utilizzare i dati generati dai dispositivi per competere con gli utenti nei servizi after-market. Il Data Act impedisce l'uso dei dati dei clienti per svantaggiare i fornitori di servizi scelti dai clienti.
### Diritti di switching cloud
Il Data Act include disposizioni sulla portabilità dei servizi cloud — affrontando preoccupazioni sul lock-in dei dati a livello di cloud provider. I cloud provider devono:
- Consentire la portabilità dei dati dei clienti
- Ridurre i costi di switching (eliminati per alcuni tipi di clienti)
- Fornire termini contrattuali chiari sull'accesso ai dati
- Supportare formati e protocolli standard
### Accesso ai dati business-to-government
In specifiche circostanze eccezionali (emergenze pubbliche, compiti del settore pubblico di interesse pubblico), i governi possono richiedere la condivisione di dati aziendali. Ciò è fortemente vincolato — l'Atto stabilisce limiti chiari per prevenire l'espansione.
## Perché è importante per le aziende europee
Il Data Act crea diverse implicazioni pratiche:
### Per i produttori di prodotti IoT
Se vendi prodotti connessi nell'UE (consumer o B2B), la conformità al Data Act è obbligatoria:
- Costruisci meccanismi di accesso ai dati nell'architettura del prodotto
- Documenta i modelli di generazione dati
- Consenti la condivisione dei dati indirizzata dall'utente con terzi
- Evita di usare i dati del prodotto per competere con gli utenti nei servizi after-market
Si tratta di un sostanziale lavoro di product engineering. I nuovi prodotti progettati dal 2024-2025 tipicamente integrano la conformità al Data Act; i prodotti legacy richiedono spesso un significativo retrofit.
### Per i fornitori di servizi after-market
Se fornisci servizi che dipendono da dati di prodotti connessi (riparazione, assicurazione, gestione delle flotte, servizi agricoli, ecc.), il Data Act crea nuove opportunità:
- Richiedere accesso ai dati per conto dei clienti
- Costruire servizi che sfruttino dati prima bloccati
- Competere più efficacemente con i servizi affiliati ai produttori
### Per cloud provider e clienti
Le disposizioni sullo switching cloud creano implicazioni operative:
- I cloud provider devono ridurre l'attrito allo switching
- L'architettura lato cliente dovrebbe considerare i requisiti di portabilità
- Le strategie multi-cloud diventano operativamente più semplici
### Per gli spazi di dati
Il Data Act consente ecosistemi di scambio dati più ampi. Gli spazi di dati settoriali (Catena-X per l'automotive, Manufacturing-X per la manifattura, ecc.) ottengono una base giuridica più solida sotto l'Atto.
## La relazione con il GDPR
Il Data Act e il GDPR sono complementari ma distinti:
**GDPR**: si occupa dei dati personali (dati relativi a persone fisiche identificabili)
**Data Act**: si occupa dei dati non personali (dati generati da macchine, dati di sensori, dati operativi)
Quando i dati sono personali ai sensi del GDPR (ad es. modelli di guida collegati a individui specifici), si applica il GDPR e le disposizioni del Data Act sono subordinate. Quando i dati sono non personali (dati aggregati di sensori macchina, parametri tecnici), le disposizioni del Data Act si applicano principalmente.
Nella pratica, i dati IoT contengono spesso elementi sia personali sia non personali. La conformità richiede l'applicazione appropriata di entrambi i regolamenti.
## Struttura sanzionatoria
L'applicazione del Data Act usa autorità di vigilanza nazionali designate dagli Stati membri. Le sanzioni sono determinate a livello nazionale ma l'Atto consente sanzioni sostanziose per non conformità.
Per le PMI, l'Atto include varie disposizioni di proporzionalità ed esenzioni per evitare un onere di conformità sproporzionato sulle piccole imprese.
## Cosa è stato consegnato fino al 2026
Stato di attuazione a metà:
**Operativo:**
- La maggior parte dei produttori di prodotti connessi ha implementato la conformità di base al Data Act
- Le richieste di condivisione dati vengono fatte e processate
- I fornitori di servizi after-market stanno costruendo servizi che sfruttano i dati
- Le disposizioni sullo switching cloud stanno creando reale attività di switching
**Ancora in sviluppo:**
- Gli spazi di dati settoriali continuano a maturare
- Formati dati e API standardizzati vengono definiti
- Coordinamento dell'applicazione transfrontaliera
- Casi d'uso di addestramento IA nel quadro del Data Act
## Le disposizioni specifiche per il cloud contano di più
Per la maggior parte degli acquirenti tecnologici europei, le disposizioni di switching cloud del Data Act sono le più operativamente rilevanti. L'Atto ha accelerato l'allontanamento dal lock-in cloud:
- Riducendo l'incertezza giuridica sullo switching cloud
- Richiedendo ai provider di consentire la portabilità
- Eliminando le tariffe di switching per alcuni tipi di clienti
- Creando supporto per formati standard
Ciò complementa la più ampia storia di sovranità del cloud europea — rendendo operativamente più facile spostare carichi dagli hyperscaler USA ai cloud provider europei.
## Cosa porta il 2026-2027
- **Continua maturazione dell'applicazione** man mano che le autorità nazionali di vigilanza stabiliscono modelli
- **Lavoro di standardizzazione** su formati dati e API
- **Spazi di dati settoriali** che continuano lo sviluppo (Catena-X, Manufacturing-X in espansione)
- **Intersezione con AI Act** — casi d'uso di addestramento IA nel quadro del Data Act
- **Coordinamento dell'applicazione transfrontaliera** man mano che emergono più casi
Il Data Act continuerà a evolvere. La sua interazione con AI Act, GDPR e regolamenti settoriali sarà la storia di attuazione in corso.
## Implicazioni pratiche
Per le aziende europee:
1. **Se vendi prodotti connessi** — la conformità al Data Act non è negoziabile; integrala
2. **Se fornisci servizi after-market** — sfrutta i diritti di accesso del Data Act
3. **Se usi servizi cloud** — i diritti di switching cloud rendono la portabilità strategicamente più facile
4. **Se partecipi a spazi di dati settoriali** — il Data Act fornisce una base giuridica più solida
5. **Se sei un B2B SaaS** — le tue offerte cloud-deployed dovrebbero supportare i requisiti di portabilità del Data Act
Il Data Act è meno famoso del GDPR ma sempre più operativamente rilevante. Per lo sviluppo dell'ecosistema tecnologico europeo, il suo impatto a lungo termine può essere sostanziale.
Ti è stato utile?
Grazie per il tuo feedback!