You are here
Data Act Reg. UE 2023/2854: I dati dei vostri prodotti connessi non sono più solo vostri

THE INTEGRITY TIMES

ANALISI  ·  NORMATIVA  ·  GOVERNANCE

Norme & Compliance  ·  Analisi Normativa

Data Act: i dati generati dai vostri prodotti non sono più solo vostri.

Dal 12 settembre 2025 il Regolamento (UE) 2023/2854 è pienamente applicabile: chi produce o distribuisce prodotti connessi, fornisce servizi cloud o gestisce dati generati da dispositivi IoT deve consentire agli utenti l’accesso gratuito ai propri dati, rivedere la contrattualistica B2B per eliminare le clausole abusive e prepararsi all’obbligo di progettazione access-by-design entro il 12 settembre 2026. L’Italia non ha ancora designato l’autorità competente né definito le sanzioni — ed è già passibile di procedura d’infrazione.

The Integrity Times  ·  Norme & Compliance  ·  Aprile 2026  ·  Fonti: GU UE L 2023/2854 del 22.12.2023 · Reg. (UE) 2023/2854 · Commissione Europea · EUR-Lex · LCA Studio Legale · Agenda Digitale

Per decenni, i dati generati dall’uso di un prodotto appartenevano al produttore. Chi acquistava un macchinario industriale connesso, un’auto, un dispositivo medico o uno smart meter non aveva alcun diritto giuridicamente tutelato sui dati che il proprio utilizzo produceva. Quei dati erano la materia prima di un’economia invisibile: analisi predittive, modelli di business sui servizi post-vendita, informazioni di mercato che i produttori monetizzavano in modo esclusivo. Il Regolamento (UE) 2023/2854 — il Data Act — ha cambiato questa geometria. Dal 12 settembre 2025 quei dati appartengono, almeno in parte, a chi li genera attraverso l’uso. Il produttore non li perde, ma non può più rifiutarne l’accesso, non può imporre clausole contrattuali che ne limitino ingiustamente il riutilizzo, e non può ostacolare il passaggio a un fornitore concorrente. Per le imprese italiane — manifatturiere, tecnologiche, fornitrici di servizi cloud, studi legali che revisionano contratti — questo non è un adempimento futuro. È un obbligo già in vigore che molti non hanno ancora affrontato.

1. Che cos’è il Data Act e perché è diverso dal GDPR

Il Regolamento (UE) 2023/2854, pubblicato nella Gazzetta Ufficiale dell’Unione Europea del 22 dicembre 2023 ed entrato in vigore l’11 gennaio 2024, è pienamente applicabile dal 12 settembre 2025. Il suo oggetto non è la privacy — questo è il punto che genera più confusione nel dibattito professionale italiano. Il Data Act non sostituisce il GDPR né lo modifica nella sostanza: i due regolamenti coesistono e si integrano. Il GDPR governa i dati personali degli individui. Il Data Act governa i dati generati dall’uso di prodotti e servizi connessi — siano essi personali o non personali — e stabilisce chi ha il diritto di accedervi, a quali condizioni, e con quali limiti.

La distinzione pratica è questa: un macchinario industriale connesso genera dati di produzione, efficienza, manutenzione predittiva. Questi dati non riguardano necessariamente una persona fisica identificabile — quindi il GDPR non li governa primariamente. Ma fino al Data Act, il fabbricante del macchinario li deteneva in esclusiva, li usava per i propri servizi post-vendita, li vendeva a terzi, e l’impresa che aveva acquistato il macchinario non aveva accesso ai dati che la propria produzione generava. Il Data Act rompe questo monopolio informativo.

Il Data Act non è una norma sulla privacy. È una norma sulla proprietà economica dei dati. Chi produce dati attraverso l’uso di un prodotto o servizio connesso acquisisce il diritto di accedervi, riutilizzarli e condividerli con soggetti terzi di propria scelta. Chi detiene quei dati — il fabbricante, il fornitore del servizio — non li perde, ma non può più esigerli in esclusiva né imporre condizioni contrattuali che ne limitino ingiustamente il valore per la controparte.

— Osservazione editoriale, The Integrity Times

2. Chi è coinvolto: un perimetro più ampio del previsto

Il Regolamento si applica a una platea di soggetti che va ben oltre il settore tecnologico in senso stretto. Il perimetro è definito dall’Art. 2 e dall’Art. 1 del Regolamento e ruota attorno a tre figure chiave:

Le figure centrali del Data Act — Reg. (UE) 2023/2854, Art. 2

  • Data holder (detentore dei dati): il fabbricante di prodotti connessi o il fornitore di servizi correlati che detiene i dati generati dall’uso del prodotto o del servizio. Ha l’obbligo principale di rendere i dati accessibili all’utente, gratuitamente e in tempo reale ove tecnicamente possibile, e di trasmetterli a terzi indicati dall’utente su richiesta. Non può opporsi per ragioni commerciali, salvo le eccezioni previste dal Regolamento (segreti commerciali, sicurezza).
  • User (utente): la persona fisica o giuridica che utilizza il prodotto connesso o il servizio correlato — consumatore finale o impresa. Acquisisce il diritto di accedere ai propri dati, di riceverli in formato leggibile, e di autorizzarne la condivisione con soggetti terzi di propria scelta, inclusi concorrenti del data holder originale. L’utente non può essere costretto a cedere i propri dati come condizione per usare il prodotto.
  • Fornitori di servizi di trattamento dati (cloud): fornitori di servizi IaaS, PaaS, SaaS che trattano dati per conto di clienti. Sono soggetti agli obblighi di cloud switching: devono consentire il passaggio a un fornitore concorrente senza ostacoli tecnici o economici, con riduzione progressiva delle switching charges fino alla loro eliminazione completa entro il 12 gennaio 2027.

Il perimetro applicativo comprende concretamente: produttori di macchinari industriali connessi (settore manifatturiero italiano particolarmente esposto), produttori di veicoli connessi, fornitori di dispositivi medici con componenti digitali, produttori di apparecchi domestici smart, fornitori di piattaforme SaaS, cloud provider di ogni dimensione. Sono escluse dall’ambito principale le micro e piccole imprese nella veste di data holder — un’esenzione rilevante per la struttura produttiva italiana — salvo che per gli obblighi di cloud switching, che si applicano a tutti indipendentemente dalle dimensioni.

3. I cinque pilastri del Regolamento

Il Data Act è strutturato intorno a cinque aree di intervento distinte ma interconnesse, ciascuna con obblighi operativi specifici:

I cinque pilastri del Reg. (UE) 2023/2854

  • Pilastro I — Accesso ai dati da prodotti connessi (Capo II, Artt. 3-9): diritto dell’utente di accedere gratuitamente e in tempo reale ai dati generati dall’uso del proprio prodotto connesso; obbligo del data holder di rendere i dati accessibili direttamente o tramite terzi designati dall’utente; obbligo di informativa precontrattuale chiara su quali dati vengono generati, come accedervi, chi li detiene
  • Pilastro II — Condivisione B2B a condizioni eque (Capo III, Artt. 10-12): obbligo di messa a disposizione dei dati tra imprese a condizioni eque, ragionevoli e non discriminatorie (FRAND); il data holder può richiedere un compenso ragionevole per la condivisione con terzi, ma non può rifiutarla in modo assoluto; tutela dei segreti commerciali: il Regolamento ammette misure tecniche e contrattuali per proteggere informazioni riservate, ma non consente che queste misure rendano di fatto impossibile l’accesso
  • Pilastro III — Divieto di clausole abusive B2B (Capo IV, Artt. 13-14): PRIORITÀ IMMEDIATA le clausole sui dati imposte unilateralmente in contratti B2B tra parti con potere negoziale squilibrato sono nulle se abusive. Il Regolamento introduce una lista di clausole presuntivamente abusive: quelle che escludono la responsabilità del data holder per dolo o colpa grave, quelle che impediscono all’utente di riutilizzare i dati generati, quelle che impediscono il recesso entro un termine ragionevole, quelle che consentono al data holder di usare i dati in modo da danneggiare significativamente gli interessi dell’altra parte. Si applica ai contratti stipulati dopo il 12 settembre 2025; per i contratti preesistenti, dal 12 settembre 2027
  • Pilastro IV — Cloud switching senza ostacoli (Capo VI, Artt. 23-31): i fornitori di servizi cloud (IaaS, PaaS, SaaS) devono garantire la portabilità tecnica dei dati e delle applicazioni verso fornitori concorrenti; le switching charges devono essere ridotte dal 12 settembre 2025 e azzerate completamente entro il 12 gennaio 2027; i fornitori devono pubblicare informazioni chiare su procedure, tempi e costi del cambio fornitore; obbligo di standard aperti per l’interoperabilità
  • Pilastro V — Accesso eccezionale dei soggetti pubblici (Capo V, Artt. 15-22): in situazioni di necessità eccezionale — emergenze pubbliche, catastrofi, pandemie — gli enti pubblici possono richiedere al settore privato l’accesso a dati non altrimenti disponibili; l’accesso è temporaneo, proporzionato e finalizzato; il data holder può rifiutare solo in casi specifici e deve notificare il rifiuto all’autorità competente; nessun compenso è dovuto al data holder per l’accesso in emergenza

4. Il nodo contrattuale: i contratti B2B da rivedere adesso

L’impatto più immediato e spesso sottovalutato del Data Act riguarda la contrattualistica B2B. Il Regolamento non si limita a stabilire diritti astratti: introduce un elenco preciso di clausole che, se presenti nei contratti stipulati dopo il 12 settembre 2025, sono nulle di pieno diritto senza necessità di impugnazione giudiziale.

Clausole B2B presuntivamente abusive — Reg. (UE) 2023/2854, Art. 13 parr. 4 e 5

  • Esclusione o limitazione della responsabilità del data holder per dolo o colpa grave nella gestione dei dati
  • Esclusione dei mezzi di ricorso disponibili per l’altra parte in caso di controversia sull’accesso ai dati
  • Concessione al data holder del diritto esclusivo di determinare se i dati forniti siano conformi al contratto
  • Utilizzo dei dati da parte del data holder in modo da danneggiare significativamente gli interessi commerciali dell’altra parte — in particolare quando i dati contengono informazioni commercialmente sensibili
  • Impedimento all’altra parte di utilizzare i dati che ha generato durante il periodo contrattuale, o limitazione del loro utilizzo tale da privare la parte del loro valore economico
  • Impedimento del recesso dall’accordo entro un termine ragionevole
  • Impedimento all’altra parte di ottenere una copia dei propri dati alla cessazione del contratto

Per gli studi legali e i commercialisti che assistono clienti con contratti di fornitura di servizi digitali, contratti cloud, accordi di manutenzione su macchinari connessi o contratti di distribuzione di prodotti IoT: la revisione di questi strumenti alla luce del Data Act non è un’attività futura. I contratti stipulati dopo il 12 settembre 2025 che contengono clausole abusive sono già parzialmente nulli. Per i contratti preesistenti a tempo indeterminato o con durata superiore a dieci anni, l’obbligo di adeguamento scatta il 12 settembre 2027 — ma il processo di revisione richiede tempo, e avviarlo adesso significa evitare situazioni di nullità parziale imprevista alla scadenza.

Il Data Act ha trasformato retroattivamente le clausole “standard” di molti contratti di fornitura tecnologica in clausole potenzialmente nulle. Non si tratta di rinegoziare per ottenere condizioni migliori: si tratta di verificare che i contratti in essere non contengano disposizioni che il Regolamento ha già reso inefficaci. Per un cliente manifatturiero con decine di contratti di manutenzione connessa, questo è un audit di rischio legale non differibile.

— Osservazione editoriale, The Integrity Times

5. Il cloud switching: la fine del vendor lock-in come modello di business

Il Capo VI del Regolamento affronta uno dei problemi strutturali dell’economia digitale europea: il vendor lock-in nel cloud. Per anni i fornitori di servizi cloud hanno reso tecnicamente e economicamente difficoltoso il passaggio a un concorrente — attraverso formati proprietari, costi di uscita elevati, procedure di migrazione opache. Il Data Act obbliga a smontare questo modello.

Obblighi cloud switching — Reg. (UE) 2023/2854, Artt. 23-31 (si applicano a tutti i fornitori, indipendentemente dalle dimensioni)

  • Dal 12 settembre 2025: obbligo di pubblicare informazioni chiare e accessibili su procedure, tempi e costi per il cambio di fornitore e per l’esportazione dei dati; le switching charges devono essere ridotte rispetto ai livelli precedenti; obbligo di adottare standard aperti per l’interoperabilità tecnica
  • Dal 12 gennaio 2027: SCADENZA FINALE eliminazione completa delle switching charges — il passaggio a un altro fornitore cloud non potrà comportare alcun costo di uscita; periodo transitorio massimo di 30 giorni lavorativi per completare la migrazione, salvo accordo diverso
  • Obblighi tecnici permanenti: i fornitori devono assicurare la portabilità completa di dati e applicazioni in formati standard aperti; non possono imporre ostacoli tecnici alla migrazione; devono mantenere la funzionalità del servizio per il cliente durante il periodo di transizione

Per le imprese che utilizzano servizi cloud — e nel 2026 questo include praticamente tutte le organizzazioni di dimensioni medie e grandi — questi obblighi hanno un risvolto strategico diretto: i contratti cloud in scadenza o in rinnovo devono essere negoziati tenendo conto dei nuovi diritti di portabilità. Chi firma oggi un contratto cloud pluriennale con clausole che limitano il diritto di recesso o di migrazione sta accettando condizioni che il Regolamento considera nulle.

6. Il nodo italiano: nessuna autorità competente, nessuna sanzione definita

Il Data Act non introduce un sistema sanzionatorio uniforme a livello europeo — a differenza del GDPR o dell’AI Act. La definizione delle sanzioni è demandata ai singoli Stati membri, che avevano l’obbligo di designare un’autorità competente e notificare il regime sanzionatorio alla Commissione europea entro il 12 settembre 2025.

L’Italia non ha rispettato nessuno dei due obblighi. Al momento in cui questo articolo viene pubblicato, il Paese non dispone né di un’autorità competente designata per il Data Act né di un regime sanzionatorio nazionale notificato alla Commissione. Il confronto con il Data Governance Act — per il quale l’Italia ha invece emanato il D.Lgs. 7 ottobre 2024, n. 144, designando AgID come autorità competente — rende ancora più evidente l’inadempimento sul Data Act.

L’assenza di un’autorità competente italiana per il Data Act non significa che le imprese siano al sicuro. Il Regolamento è direttamente applicabile: i diritti degli utenti esistono, gli obblighi dei data holder esistono, le clausole abusive sono nulle indipendentemente dal fatto che vi sia un’autorità pronta a sanzionarle. La nullità di una clausola contrattuale può essere fatta valere dinanzi a qualsiasi giudice civile, senza attendere un intervento amministrativo. L’assenza di enforcement pubblico non è un’amnistia: è un’esposizione al contenzioso privato senza la prevedibilità che un’autorità regolatoria garantirebbe.

— Osservazione editoriale, The Integrity Times

Per quanto riguarda il quadro sanzionatorio europeo di riferimento, il Regolamento prescrive che le sanzioni siano efficaci, proporzionate e dissuasive e attribuisce agli Stati membri la competenza per fissarne i massimali. Il confronto con le norme sanzionatorie di altri regolamenti europei del medesimo contesto — GDPR, AI Act, DORA — suggerisce che, una volta istituito, il regime sanzionatorio italiano potrà includere sanzioni percentuali sul fatturato per le violazioni più gravi, in particolare per il rifiuto illegittimo di accesso ai dati e per l’imposizione di clausole abusive.

7. La mappa delle scadenze

Data Milestone
22 dicembre 2023 Pubblicazione nella GU UE del Reg. (UE) 2023/2854 — Data Act
11 gennaio 2024 Entrata in vigore del Regolamento — inizio periodo di preparazione per le imprese
12 settembre 2025 IN VIGOREPiena applicabilità del Data Act — diritti di accesso ai dati, obblighi di condivisione B2B, divieto clausole abusive per nuovi contratti, inizio riduzione switching charges cloud, obbligo di informativa precontrattuale. Scadenza (non rispettata dall’Italia) per la designazione dell’autorità competente nazionale
12 settembre 2026 PROSSIMA SCADENZAObbligo di access by design — i prodotti connessi e i servizi correlati immessi sul mercato dopo questa data devono essere progettati sin dall’origine per consentire l’accesso ai dati direttamente, in modo sicuro e gratuito (Art. 3, par. 1). Si applica ai nuovi prodotti; non retroattivo sui prodotti già in commercio
12 gennaio 2027 Eliminazione completa delle switching charges cloud — il cambio di fornitore di servizi di trattamento dati non potrà comportare alcun costo di uscita
12 settembre 2027 Applicazione del divieto di clausole abusive B2B anche ai contratti preesistenti (conclusi prima del 12 settembre 2025) che siano a tempo indeterminato o con scadenza almeno 10 anni dopo l’11 gennaio 2024

8. Agenda operativa: cosa fare adesso

Il Data Act è in vigore da sette mesi. La scadenza operativa più prossima — l’access by design per i nuovi prodotti — è a cinque mesi. L’agenda dipende dal ruolo dell’organizzazione nella filiera del dato.

Agenda operativa — per ruolo

  • FABBRICANTI di prodotti connessi (macchinari, veicoli, dispositivi medici, elettrodomestici smart):
    — Verificare se i prodotti attualmente in commercio consentono l’accesso ai dati generati — tecnicamente e contrattualmente
    — Per i nuovi prodotti in sviluppo: avviare la progettazione access-by-design per essere conformi alla scadenza del 12 settembre 2026
    — Rivedere i contratti di fornitura e manutenzione per eliminare le clausole abusive identificate dall’Art. 13
    — Predisporre l’informativa precontrattuale su dati generati, modalità di accesso e titolarità
  • FORNITORI di servizi cloud (IaaS, PaaS, SaaS):
    — Verificare e documentare la progressiva riduzione delle switching charges già avviata dal 12 settembre 2025
    — Pianificare l’eliminazione completa delle switching charges entro il 12 gennaio 2027
    — Aggiornare i contratti di servizio con clausole di portabilità e interoperabilità conformi al Regolamento
    — Pubblicare sul proprio sito informazioni chiare su procedure e tempi di migrazione
  • IMPRESE UTENTI di prodotti connessi e servizi cloud:
    — Verificare nei contratti esistenti di fornitura tecnologica la presenza di clausole potenzialmente abusive ai sensi dell’Art. 13
    — In sede di rinnovo contrattuale, negoziare esplicitamente i diritti di accesso ai dati generati e le condizioni di portabilità
    — Richiedere ai fornitori di prodotti connessi l’accesso ai dati generati dall’uso — questo diritto è già esercitabile dal 12 settembre 2025
    — Prima di firmare nuovi contratti cloud, verificare le clausole di switching e portabilità
  • STUDI LEGALI e COMMERCIALISTI:
    — Avviare audit dei contratti di fornitura tecnologica dei clienti per identificare clausole nulle ai sensi dell’Art. 13
    — Aggiornare i template contrattuali standard per contratti di fornitura IoT, manutenzione connessa e servizi cloud
    — Monitorare la designazione dell’autorità competente italiana — l’inadempimento dell’Italia è una finestra di incertezza che si chiuderà, probabilmente con regime sanzionatorio severo una volta istituita l’autorità
    — Verificare che i clienti manifatturieri con prodotti connessi abbiano predisposto l’informativa precontrattuale richiesta dall’Art. 4

Conclusione: Il valore dei dati industriali è ora un diritto, non un privilegio

Il Data Act compie qualcosa di strutturalmente diverso rispetto a NIS2, DORA o AI Act: non impone obblighi di sicurezza o di governance, ma ridisegna i diritti di proprietà economica sull’informazione. Per il tessuto produttivo italiano — manifatturiero, intensivo di macchinario connesso, con una filiera di PMI fornitrici — questo cambiamento ha implicazioni concrete e immediate. I dati di produzione che fino a ieri appartenevano in esclusiva al produttore del macchinario sono oggi, almeno parzialmente, nella disponibilità di chi quel macchinario lo usa.

L’assenza di un’autorità competente italiana e di un regime sanzionatorio nazionale non riduce questa portata: riduce solo la certezza su come e quando le violazioni verranno sanzionate. Chi attende la designazione dell’autorità per cominciare ad adeguarsi sta costruendo la propria esposizione al contenzioso civile su una base di illiceità già esistente. I diritti degli utenti sono esercitabili oggi. Le clausole abusive sono nulle oggi. Il Data Act è già legge.

Articoli correlati — Norme & Compliance

Fonti e riferimenti normativi

  • Regolamento (UE) 2023/2854 del Parlamento europeo e del Consiglio, 13 dicembre 2023 — GU UE L 2023/2854 del 22.12.2023 (ELI: eur-lex.europa.eu/eli/reg/2023/2854/oj)
  • Art. 1, Reg. (UE) 2023/2854 — Oggetto e ambito di applicazione
  • Art. 2, Reg. (UE) 2023/2854 — Definizioni: prodotto connesso, data holder, utente, servizio correlato
  • Art. 3, Reg. (UE) 2023/2854 — Accessibilità dei dati da prodotti connessi (access by design, applicabile ai prodotti immessi sul mercato dopo il 12 settembre 2026)
  • Art. 4, Reg. (UE) 2023/2854 — Obbligo del data holder di rendere i dati accessibili all’utente
  • Art. 5, Reg. (UE) 2023/2854 — Condivisione dei dati con terzi designati dall’utente
  • Artt. 10-12, Reg. (UE) 2023/2854 — Condivisione B2B a condizioni eque, ragionevoli e non discriminatorie
  • Art. 13, Reg. (UE) 2023/2854 — Clausole contrattuali abusive nei contratti B2B sull’accesso ai dati (parr. 4 e 5: lista clausole presuntivamente abusive)
  • Artt. 15-22, Reg. (UE) 2023/2854 — Accesso eccezionale dei soggetti pubblici ai dati privati
  • Artt. 23-31, Reg. (UE) 2023/2854 — Cloud switching: portabilità, interoperabilità, eliminazione switching charges
  • Art. 37, Reg. (UE) 2023/2854 — Autorità competenti nazionali: designazione e compiti (scadenza 12 settembre 2025)
  • Art. 40, Reg. (UE) 2023/2854 — Calendario di applicazione del Regolamento
  • Commissione Europea, Data Act — pagina ufficiale (digital-strategy.ec.europa.eu/en/policies/data-act)
  • LCA Studio Legale, Analisi Data Act — applicabilità e obblighi per le imprese, settembre 2025
  • Agenda Digitale, Guida pratica al Data Act, settembre 2025 — nota sull’inadempimento italiano nella designazione dell’autorità competente
  • Decreto Legislativo 7 ottobre 2024, n. 144 — GU n. 238 del 10 ottobre 2024 (recepimento Data Governance Act, Reg. UE 2022/868 — distinto dal Data Act)

© The Integrity Times  ·  Riproduzione Riservata  ·  www.theintegritytimes.com