Riceviamo e pubblichiamo un contributo di Giulia Mariuz, partner dello studio legale Hogan Lovells
Il Regolamento (UE) 2023/2854 riguardante norme armonizzate sull’accesso equo ai dati e sul loro utilizzo, più comunemente noto come Data Act, si applica ufficialmente dal 12 settembre 2025 e si prefigge di creare uno spazio sicuro per la condivisione dei dati.
Uno degli aspetti principali del Data Act è garantire che gli utenti di un prodotto connesso (del tipo Internet of things) e dei relativi servizi correlati (in pratica, il servizio digitale che assicura il corretto funzionamento del prodotto) possano accedere a, e condividere i dati generati dall’uso di tali prodotti e servizi. A tal fine, il Data Act include previsioni che impongono ai titolari dei dati di mettere i dati a disposizione degli utenti e altri terzi destinatari a condizioni eque e non discriminatorie, favorendo il passaggio da un servizio di trattamento di dati all’altro grazie a un’adeguata interoperabilità. Preme sottolineare che i dati in questione non sono solo dati personali, ma includono qualsiasi rappresentazione digitale di atti, fatti o informazioni. Pertanto, l’ambito di applicazione materiale del Data Act è più ampio di quello del GDPR.
Il Data Act rappresenta una cruciale iniziativa nell’ambito della strategia europea in materia di dati, presentata dalla Commissione nel febbraio 2020. In tale contesto, il legislatore europeo ha già adottato il Regolamento (UE) 2022/868, o Data Governance Act, che regolamenta i processi e le strutture per facilitare la condivisione dei dati da parte delle imprese, dei cittadini e del settore pubblico, pienamente applicabile dal settembre 2023. L’idea di fondo del Data Act è invece quella di dare impulso all’economia dei dati dell’Unione Europea ottimizzando l’accesso e l’utilizzo delle informazioni generate da prodotti e servizi digitali, con l’obiettivo di creare uno spazio sicuro per la libera circolazione dei dati e migliorare competitività e fiducia degli attori europei.
È prevista un’applicazione graduale delle previsioni del Data Act, che consenta agli operatori coinvolti di adeguare efficientemente e in modo sostenibile sistemi, contratti e procedure.
Le previsioni principali
Le principali novità introdotte dal Data Act possono riassumersi come segue.
Sono previste in primo luogo disposizioni specifiche in materia di accessibilità e condivisione dei dati, sia per l’utente che per i destinatari dei dati. Tra queste, vi è un obbligo di accessibilità “fin dalla progettazione”: i prodotti connessi e i servizi correlati dovranno essere progettati e offerti in modo tale che i relativi dati siano, per impostazione predefinita, accessibili all’utente in modo facile, sicuro, gratuito, in formato completo, strutturato, di uso comune e leggibile da dispositivo automatico. Ove tecnicamente fattibile, i dati devono essere direttamente accessibili; in caso contrario, i titolari dei dati devono disporre di meccanismi per fornire i dati agli utenti su semplice richiesta.
Ulteriori disposizioni regolano la condivisione dei dati anche con terzi su richiesta dell’utente – ad esempio, quando gli utenti si rivolgono a un terzo per accedere a un servizio correlato, post-vendita o accessorio (ad es. servizi di riparazione e manutenzione). Ciò è consentito, nel rispetto di garanzie volte ad assicurare che l’accesso ai dati da parte di terzi non avvenga in maniera abusiva, quali il divieto di utilizzare i dati per lo sviluppo di un prodotto connesso concorrente.
Tali misure sono supportate da precisi obblighi di trasparenza e disposizioni volte a garantire eque condizioni d’accesso ai dati. In particolare, agli utenti devono essere fornite informazioni precontrattuali specifiche relative ai dati, quali il tipo, il formato e il volume, il luogo in cui sono conservati, ecc., con l’obiettivo finale di consentire loro di acquisire consapevolezza del valore potenziale dei dati che un certo dispositivo può produrre o condividere. A questo proposito, il Data Act parla nei propri considerando di “alfabetizzazione in materia di dati”.
Per la condivisione di dati tra imprese, è prevista la possibilità di concordare un compenso ragionevole per la messa a disposizione dei dati, così come la nullità di certe clausole
potenzialmente abusive relative all’accesso ai dati, quali ad esempio quelle che limitino o escludano unilateralmente la responsabilità di una parte per frode o negligenza grave, o che impediscano alla parte a cui è stata imposta unilateralmente la clausola di recedere dal contratto in base al quale sono stati forniti i dati.
Infine, particolare rilievo assume il trasferimento dei dati tra fornitori di servizi (quali i fornitori di servizi di cloud), che deve avvenire secondo criteri di interoperabilità e portabilità, prevenendo fenomeni di lock-in e assicurando la continuità operativa. A tal fine, sono previste clausole contrattuali obbligatorie che consentano e facilitino, ove il cliente ne faccia richiesta, il passaggio a un servizio di trattamento dei dati offerto da un diverso fornitore. I contratti stipulati devono inoltre trattare dettagliatamente modalità di trasferimento sicure, includendo clausole specifiche sulla portabilità, obblighi informativi per gli utenti e misure di protezione dei dati e del know-how industriale, sì da garantire la continuità operativa e la tutela degli interessi economici. Un gruppo di lavoro all’interno della Commissione europea sta finalizzando un set di clausole contrattuali standard non vincolanti per i contratti di cloud computing per assistere le parti nell’adempimento degli obblighi contrattuali rilevanti.
Dal 12 gennaio 2027 dovranno essere eliminate del tutto anche le spese di c.d. switching. Ciò significa che i fornitori non saranno in grado di addebitare ai loro clienti le operazioni necessarie per facilitare il passaggio o l’uscita dei dati. Come misura transitoria, fino a tale data i fornitori potranno ancora addebitare i costi sostenuti in relazione al passaggio e all’uscita dei dati.
Conclusioni
L’entrata in vigore del Data Act comporta sforzi significativi per gli attori coinvolti. Per conformarsi alla normativa e coglierne le opportunità commerciali, sarà necessario adeguare prodotti e servizi ai requisiti tecnici di portabilità e accessibilità, ed aggiornare i termini contrattuali, futuri ma anche già esistenti, nonché la relativa documentazione e le informazioni fornite agli utenti.
In conclusione, il Data Act offre un quadro normativo dettagliato, che consente di valorizzare i dati per stimolare l’innovazione e garantire trasparenza e sicurezza. Trattandosi di una svolta fondamentale per l’economia dei dati europea, resta da vedere come verrà applicato a livello nazionale e quali saranno gli sviluppi futuri. In ogni caso, l’applicazione della normativa in esame richiederà un solido impegno da parte degli attori coinvolti, affinché le opportunità e le sfide imminenti si traducano, nel lungo periodo, in benefici comuni e concreti per l’intero mercato europeo.
