No, il Data Act non rende totalmente liberi i dati dei prodotti connessi
Il Data Act, Regolamento (UE) 2023/2854, si applica in generale dal 12 settembre 2025. Per i prodotti connessi e i servizi correlati immessi sul mercato dopo il 12 settembre 2026 trova applicazione anche lo specifico requisito di progettazione previsto dall’articolo 3, paragrafo 1: i dati del prodotto e del servizio correlato devono essere resi accessibili all’utente in modo semplice, sicuro, gratuito, completo, strutturato, di uso comune e leggibile da dispositivo.
I dati generati da dispositivi IoT e apparecchiature connesse non sono quindi riservati in via esclusiva al produttore o al soggetto che li detiene. L’accesso diretto dal prodotto è richiesto quando pertinente e tecnicamente possibile; negli altri casi, il titolare dei dati deve metterli a disposizione dell’utente secondo le modalità stabilite dal regolamento.
Per professionisti come DPO, IT manager, responsabili di prodotto e quality manager di PMI, questa disciplina comporta conseguenze tecniche, contrattuali e di governance. L’adeguamento richiede un approccio coordinato per gestire i rischi di non conformità e gli eventuali contenziosi.
In questo articolo si analizza cosa comporta concretamente il requisito di accessibilità dei dati previsto dal Data Act, si approfondisce la data del 12 settembre 2026 e si spiega perché i dati non diventano “liberi”, ma restano soggetti a precise condizioni di accesso, utilizzo e protezione. Infine, si propongono azioni pratiche per prepararsi al cambiamento.
Qual è il contesto normativo del Data Act e cosa significa accesso ai dati by design?
Il Regolamento (UE) 2023/2854, noto come Data Act, armonizza le regole sull’accesso equo ai dati e sul loro utilizzo nell’Unione europea, con particolare attenzione ai dati generati dall’uso di prodotti connessi e servizi correlati. Il regolamento è entrato in applicazione il 12 settembre 2025.
L’articolo 3 stabilisce che i prodotti connessi e i servizi correlati devono essere progettati e forniti in modo che i dati e i relativi metadati necessari alla loro interpretazione siano accessibili all’utente. L’accesso deve avvenire direttamente dal prodotto quando ciò è pertinente e tecnicamente possibile.
Quando l’accesso diretto non è disponibile, l’utente può chiedere al titolare dei dati di mettergli a disposizione i dati prontamente disponibili. L’obiettivo è rafforzare il controllo degli utenti sui dati generati dall’uso dei prodotti, favorendo innovazione e concorrenza nei servizi collegati.
L’accesso deve comunque rispettare la sicurezza, la riservatezza, la protezione dei dati personali e i diritti dei terzi, in coordinamento con il GDPR e con la disciplina sui segreti commerciali.
Cosa cambia concretamente con l’accesso ai dati by design dal 12 settembre 2026?
Il requisito dell’articolo 3, paragrafo 1, si applica ai prodotti connessi e ai servizi correlati immessi sul mercato dopo il 12 settembre 2026. Non si tratta quindi della data generale di applicazione dell’intero Data Act, già fissata al 12 settembre 2025, ma di una disposizione specifica rivolta alla progettazione dei nuovi prodotti e servizi.
I prodotti interessati devono essere progettati in modo che i dati pertinenti siano accessibili in un formato completo, strutturato, di uso comune e leggibile da dispositivo. La norma non impone necessariamente una determinata tecnologia o l’adozione generalizzata di protocolli aperti, ma richiede soluzioni concretamente idonee a consentire l’accesso previsto.
Per IT manager, responsabili di prodotto e quality manager, la conformità deve essere considerata nelle fasi di sviluppo e progettazione. Parallelamente, occorre adeguare le informazioni precontrattuali, i contratti di fornitura e le condizioni d’uso, chiarendo natura dei dati, modalità di accesso, finalità di utilizzo e limitazioni applicabili.
Passi tecnici
Le aziende devono valutare le architetture dei prodotti per identificare quali dati rientrino nell’ambito del Data Act, dove siano conservati e attraverso quali modalità possano essere messi a disposizione dell’utente.
Le soluzioni adottate devono consentire un accesso semplice e leggibile da dispositivo, evitando ostacoli tecnici ingiustificati. L’implementazione deve inoltre proteggere la riservatezza, l’integrità e la disponibilità dei dati, prevenendo accessi non autorizzati e interferenze con il funzionamento del prodotto.
È opportuno distinguere i dati generati dall’uso del prodotto dai contenuti acquisiti o creati dall’utente e dalle informazioni elaborate attraverso processi complessi, che non rientrano necessariamente nello stesso regime di accesso.
Aspetti contrattuali
I contratti e le condizioni d’uso devono essere rivisti per assicurare che l’utente riceva, prima della conclusione del contratto, le informazioni richieste dal Data Act. Tra queste rientrano la natura e il volume dei dati generabili, le modalità di accesso e le finalità per cui il titolare intende utilizzare i dati.
È necessario coinvolgere in modo coordinato funzioni legali, IT, cybersecurity, sviluppo prodotto e compliance. La formazione degli sviluppatori e degli altri soggetti interessati rappresenta un ulteriore passaggio per tradurre i requisiti giuridici in specifiche tecniche verificabili.
Perché il Data Act non rende i dati totalmente liberi, ma accessibili secondo regole precise?
Un errore diffuso consiste nell’interpretare il Data Act come una liberalizzazione indiscriminata dei dati dei prodotti connessi. Il regolamento attribuisce agli utenti diritti di accesso, utilizzo e condivisione con terzi, ma entro condizioni precise e con specifiche garanzie.
Il Data Act non sostituisce il GDPR. Quando i dati comprendono informazioni personali, il loro accesso e trattamento devono continuare a fondarsi su una valida base giuridica e rispettare i principi di protezione dei dati personali.
Anche i segreti commerciali restano protetti. Il titolare dei dati può concordare misure tecniche e organizzative proporzionate per preservarne la riservatezza. Nei casi eccezionali previsti dal regolamento, la comunicazione di specifici dati può essere sospesa o rifiutata quando sia altamente probabile un grave danno economico, nel rispetto delle condizioni e degli obblighi di motivazione previsti.
L’utente non può inoltre utilizzare i dati ottenuti per sviluppare un prodotto connesso concorrente né impiegarli per ricavare informazioni sulla situazione economica, sulle risorse o sui metodi produttivi del produttore o del titolare dei dati con finalità concorrenziali illecite.
Quali azioni pratiche adottare per prepararsi alla scadenza del 12 settembre 2026?
Le aziende che progettano o commercializzano prodotti connessi e servizi correlati devono verificare l’applicabilità dei requisiti previsti per i prodotti immessi sul mercato dopo il 12 settembre 2026. I passaggi fondamentali includono:
- Mappatura dei prodotti connessi, dei servizi correlati e dei dati generati dal loro utilizzo.
- Distinzione tra dati accessibili, dati personali, segreti commerciali e informazioni non comprese nell’ambito applicativo.
- Valutazione delle architetture di prodotto e delle modalità tecniche di accesso.
- Predisposizione di formati strutturati, di uso comune e leggibili da dispositivo.
- Revisione delle informazioni precontrattuali, dei contratti e delle condizioni d’uso.
- Definizione di misure di sicurezza e procedure per la tutela dei segreti commerciali.
- Coinvolgimento coordinato delle funzioni legali, IT, cybersecurity, sviluppo e compliance.
- Formazione degli sviluppatori e degli altri stakeholder sulle nuove responsabilità.
Un adeguamento tardivo può rendere necessarie modifiche tecniche e contrattuali onerose e aumentare il rischio di contestazioni o sanzioni. Le conseguenze specifiche dipendono anche dalle norme nazionali adottate dagli Stati membri per l’applicazione del regime sanzionatorio.
Come impatta il Data Act sulla filiera digitale europea e quali sono le prospettive future?
Il requisito di accessibilità dei dati contribuisce alla costruzione di un ecosistema digitale europeo più trasparente e competitivo. Consentendo agli utenti di accedere ai dati e, a determinate condizioni, di condividerli con soggetti terzi, il regolamento può favorire nuovi servizi di manutenzione, assistenza, analisi e ottimizzazione.
Per i professionisti di cybersecurity e compliance, ciò richiede una governance dei dati estesa all’intero ciclo di vita del prodotto, dalla progettazione alla messa a disposizione dei dati. Le PMI possono trasformare l’adeguamento in un’opportunità, offrendo prodotti interoperabili e servizi maggiormente orientati al controllo dell’utente.
Il Data Act si inserisce in un quadro normativo più ampio che comprende, tra gli altri, il GDPR, la direttiva NIS 2 e il Cyber Resilience Act. Le diverse discipline perseguono finalità distinte ma possono concorrere nel determinare i requisiti applicabili ai prodotti connessi, ai servizi digitali e alla gestione sicura dei dati.
Perché è strategico comprendere il Data Act per chi sviluppa prodotti connessi?
Sottovalutare gli obblighi del Data Act può causare costose riprogettazioni, contestazioni contrattuali, sanzioni e danni reputazionali. Per chi gestisce il ciclo di vita dei prodotti connessi, la normativa deve essere integrata fin dalle fasi di ideazione e definizione dei requisiti.
Comprendere concretamente l’accessibilità dei dati fin dalla progettazione significa individuare quali dati devono essere resi disponibili, scegliere modalità tecniche adeguate e coordinare accesso, cybersecurity, privacy e tutela dei segreti commerciali. Un’applicazione corretta può ridurre i rischi e contribuire allo sviluppo di prodotti affidabili e conformi nel mercato europeo.
Ti interessa questo argomento?
Parla con Evidy per approfondire o richiedere un preventivo per le certificazioni.
Articoli Correlati
2026 segna la scadenza chiave per la revisione privacy in data center AI
Nel 2026 scade la revisione obbligatoria per la privacy nei data center AI: aggiornare DPIA e compliance secondo ISO/IEC 27701:2025 e GDPR è cruciale.
ISO/IEC 27701: estensione privacy a ISO 27001 per GDPR by design
Guida pratica alla certificazione ISO 27701: come integrare privacy e sicurezza (ISO 27001) per dimostrare accountability GDPR e accelerare le due diligenc
Come si certifica la privacy con la ISO/IEC 27701
Cos'è la ISO/IEC 27701:2025, la norma che certifica un sistema di gestione delle informazioni sulla privacy (PIMS), come ci si certifica passo dopo passo e perché è l'aggancio più concreto al GDPR. Più cosa cambia con l'edizione 2025 ora standalone.