Avv. Antonino Ingoglia - Diritto IT e Privacy
Aziende2026-06-178 min read

Data Act (Reg. UE 2023/2854): Obblighi per Aziende Tech e IoT

Il Data Act UE è applicabile dal 12 settembre 2025. Obblighi per produttori IoT, cloud provider e aziende dati: accesso ai dati, portabilità cloud, clausole contrattuali eque e sanzioni. Guida operativa per aziende italiane.

Avv. Antonino Ingoglia

Ordine degli Avvocati di Sciacca n. 747 · Avvocato & Sviluppatore · IT Law

Nota metodologica. La presente analisi è aggiornata al 17 giugno 2026. Il Regolamento (UE) 2023/2854 (Data Act) è entrato in vigore l'11 gennaio 2024 ed è applicabile dal 12 settembre 2025. In Italia, l'attuazione delle disposizioni sanzionatorie è demandata a un decreto legislativo in corso di adozione. Il contenuto ha finalità esclusivamente informativa e non costituisce parere legale.

Fonti primarie: Reg. UE 2023/2854, EUR-Lex · EU Commission, Data Act explained · EU Commission, Data Act FAQs

Il Data Act si applica alla mia azienda tech o alla mia startup IoT?

Il Data Act si applica a tre categorie principali di soggetti: (1) i produttori di prodotti connessi (IoT) e i fornitori di servizi correlati immessi sul mercato UE, che devono consentire agli utenti l'accesso ai dati generati dai dispositivi; (2) i fornitori di servizi di trattamento dati (cloud, edge, SaaS) che devono garantire la portabilità e l'interoperabilità; (3) tutte le imprese che stipulano contratti di condivisione dati B2B, soggette al divieto di clausole abusive. L'applicazione è dal 12 settembre 2025, con un periodo transitorio fino al 12 settembre 2027 per i contratti cloud esistenti.

Il Data Act è il tassello mancante della regolazione europea sui dati: non disciplina la protezione dei dati personali (GDPR) né la governance dei dati (Data Governance Act), ma l'accesso, l'uso e la condivisione dei dati generati da prodotti connessi, creando obblighi architetturali per produttori hardware, sviluppatori software e cloud provider.

1. Perché il Data Act cambia le regole per chi produce dispositivi connessi

Prima del Data Act, il produttore di un dispositivo IoT (es. un macchinario industriale, un veicolo connesso, un elettrodomestico smart) poteva decidere unilateralmente se, come e a quali condizioni condividere i dati generati dal dispositivo. L'utente, pur avendo acquistato il prodotto, non aveva un diritto azionabile ad accedere ai propri dati di utilizzo.

Il Data Act ribalta questo paradigma con un principio architetturale: i prodotti connessi devono essere progettati e fabbricati in modo che i dati generati siano accessibili all'utente in modo diretto, semplice, sicuro e gratuito (Art. 3). Non si tratta di un'opzione di design, ma di un requisito legale di immissione sul mercato.

Categoria di dati coperti

Il Data Act copre i dati generati dall'uso di un prodotto connesso o di un servizio correlato, inclusi:

  • Dati di funzionamento del dispositivo (telemetria, prestazioni, temperatura, consumo energetico)
  • Dati ambientali rilevati dai sensori
  • Dati di configurazione e personalizzazione impostati dall'utente
  • Log di accesso e cronologia operativa

Sono esclusi i dati personali (disciplinati dal GDPR), i contenuti creati dall'utente in senso stretto e i dati derivati da analisi complesse del titolare con investimenti sostanziali.

2. Obblighi di condivisione dati con terzi autorizzati dall'utente

L'utente (persona fisica o giuridica) ha il diritto di chiedere al titolare dei dati di condividere i dati generati dal proprio prodotto con un terzo da lui designato (Art. 5 Data Act). Il titolare dei dati deve:

  • Rendere disponibili i dati in formato strutturato, comunemente utilizzato e leggibile da dispositivo automatico
  • Fornire i dati senza ritardo ingiustificato, gratuitamente all'utente e a condizioni eque, ragionevoli e non discriminatorie (FRAND) al terzo
  • Adottare misure tecniche di protezione adeguate, inclusa la possibilità di limitare l'accesso in caso di impatto sulla sicurezza del dispositivo

Questo obbligo ha un impatto diretto sul mercato della manutenzione, riparazione e assistenza post-vendita: officine indipendenti, fornitori di servizi assicurativi, operatori logistici e sviluppatori di app possono ora accedere legittimamente ai dati del dispositivo con il consenso dell'utente, riducendo il lock-in verso il produttore originale.

3. Clausole abusive nei contratti di condivisione dati B2B

Il Data Act introduce un test di equità per le clausole contrattuali relative all'accesso e all'uso dei dati tra imprese (Art. 13), simile nella logica alla disciplina consumeristica delle clausole vessatorie. Una clausola è abusiva (e quindi non vincolante) se:

  • Esclude o limita la responsabilità della parte che l'ha imposta per dolo o colpa grave
  • Consente alla parte che l'ha imposta di accedere e utilizzare i dati della controparte in modo sproporzionato rispetto all'oggetto del contratto
  • Impedisce alla controparte di utilizzare i dati da essa generati durante il periodo contrattuale
  • Consente alla parte che l'ha imposta di risolvere unilateralmente il contratto senza preavviso congruo, salvo giusta causa

La Commissione europea ha pubblicato una bozza di raccomandazione su clausole contrattuali modello (Model Contractual Terms, MCTs) per guidare la redazione di contratti conformi.

4. Switching tra cloud provider: la portabilità diventa un diritto

Una delle disposizioni più impattanti per il settore SaaS e cloud (Artt. 23–30 Data Act) è l'obbligo di garantire il passaggio tra fornitori di servizi di trattamento dati senza ostacoli tecnici o commerciali. Entro il 12 gennaio 2027:

  • I fornitori di servizi cloud (IaaS, PaaS, SaaS) devono assicurare che il cliente possa passare a un altro fornitore o trasferire i dati nei propri sistemi senza costi di egress data transfer
  • L'eliminazione graduale degli egress fee è obbligatoria: dopo il periodo transitorio, possono essere addebitati solo costi effettivi documentati e trasparenti
  • Il fornitore uscente deve prestare assistenza ragionevole al cliente durante il processo di migrazione

Per le startup SaaS in fase di scale-up, questo significa che l'architettura tecnica deve prevedere meccanismi di esportazione dati in formati interoperabili (es. API standardizzate, esportazione in blocco) già dalla fase di progettazione del prodotto.

5. Obblighi per i titolari dei dati verso il settore pubblico

Il Data Act prevede che, in circostanze eccezionali e per finalità di pubblico interesse, gli enti pubblici possano richiedere ai titolari dei dati l'accesso a dati specifici (Art. 14–22). Le ipotesi sono tassative:

  • Emergenza pubblica (calamità naturali, pandemie, attacchi informatici su larga scala): obbligo di fornire i dati senza ritardo e gratuitamente
  • Necessità non emergenziali (elaborazione di statistiche ufficiali, adempimenti normativi): obbligo di motivazione scritta, proporzionalità e indennizzo

6. Cosa fare subito

  1. Produttori IoT: verificare che i dispositivi connessi attualmente sul mercato o in fase di progettazione consentano l'accesso diretto ai dati da parte dell'utente, in formato strutturato e documentato
  2. Cloud provider e SaaS: preparare un processo documentato di portabilità e switching, con API di esportazione dati e un calendario per l'eliminazione degli egress fee entro gennaio 2027
  3. Aziende che condividono dati B2B: rivedere i contratti di condivisione dati esistenti per eliminare le clausole potenzialmente abusive secondo i criteri dell'Art. 13 Data Act
  4. Risk assessment: includere il Data Act nell'analisi dei rischi normativi, con particolare attenzione all'impatto sulla proprietà intellettuale e sul segreto commerciale (Art. 4.8 e Art. 11 Data Act)

Domande Frequenti (FAQ)

Il Data Act si applica ai dati personali? No. Il Data Act disciplina i dati generati da prodotti connessi, che possono includere dati personali solo in modo incidentale. Quando i dati oggetto di condivisione contengono dati personali, si applica il GDPR e il titolare deve individuare una base giuridica appropriata (tipicamente il consenso dell'interessato o l'esecuzione di un contratto richiesto dall'interessato). Il Data Act specifica che non modifica né deroga agli obblighi del GDPR (Art. 1.5).

Quali sanzioni sono previste in Italia per la violazione del Data Act? Il Regolamento demanda agli Stati membri la definizione del regime sanzionatorio (Art. 40), richiedendo sanzioni effettive, proporzionate e dissuasive. L'Italia non ha ancora adottato il decreto legislativo di attuazione. Per analogia con altri regolamenti UE, le sanzioni sono attese in una forbice tra sanzioni amministrative pecuniarie fisse e percentuali del fatturato.

Un'azienda che produce sensori industriali è obbligata a condividere i dati con il cliente? Sì, se il sensore è un prodotto connesso immesso sul mercato UE dopo il 12 settembre 2025. Il cliente ha diritto di accedere ai dati generati dal sensore e di autorizzare un terzo (es. un fornitore di manutenzione predittiva concorrente) a riceverli. L'obbligo di progettazione per l'accesso ai dati riguarda i nuovi prodotti immessi sul mercato dopo l'entrata in applicazione.

Il Data Act si applica alle startup che sviluppano solo software (no hardware)? Dipende dal ruolo. Se la startup è titolare di dati provenienti da prodotti connessi (es. una piattaforma SaaS che aggrega dati di sensori industriali), ha obblighi di condivisione con l'utente e con terzi designati. Se è un fornitore di servizi di trattamento dati (cloud/SaaS), ha obblighi di portabilità e switching. Se è una PMI con meno di 50 dipendenti e fatturato inferiore a 10 milioni, beneficia di alcune esenzioni dalle clausole contrattuali abusive (Art. 13) e dagli obblighi di condivisione dati B2G in qualità di terzo ricevente.

Approfondimenti consigliati:

Fonti: Reg. UE 2023/2854, EUR-Lex; EU Data Act FAQ; EU Data Act Explained.

Condividi:
Avv. Antonino Ingoglia

Autore

Avvocato iscritto all'Ordine di Sciacca (n. 747), specializzato in diritto delle tecnologie e privacy. Prima dell'attività forense ha sviluppato applicazioni web e architetture cloud, competenza che porta nell'analisi tecnico-giuridica di prodotti digitali, SaaS e sistemi AI. Assiste aziende e startup nell'adeguamento a GDPR, AI Act, NIS2 e DORA.

Profilo completo e competenze
Nota Informativa: I contenuti di questo articolo hanno finalità puramente divulgative e informative. Non costituiscono parere legale né instaurano un rapporto professionale. Ogni caso concreto richiede una valutazione specifica da parte di un professionista abilitato per delineare l'esatto perimetro legislativo e sanzionatorio.

Articoli correlati ed Approfondimenti

AziendeAI Act Art. 5: Pratiche Vietate, Manipolazione, Biometria, Social Scoring9 min readAziendeAI Agent Governance: Quando un Agente AI Stipula Contratti per Te6 min readAziendeAI Procurement: Come Contrattualizzare un Fornitore di API LLM9 min read
Torna alla raccolta
SUPPORTO

Serve assistenza per il tuo caso?

Prenota un colloquio in videochiamata da tutta Italia. Analizzeremo la situazione assieme e definiremo i passi operativi in totale riservatezza strategica.

Prenota Consulenza