Data Act e Gdpr a confronto: cosa devono sapere le aziende

Data Act e finalità regolatorie dell’Ue

Il regolamento è ufficialmente entrato in vigore l’11 gennaio 2024, ma sarà effettivamente operativo a partire dal 12 settembre 2025 per la maggior parte delle sue disposizioni, con alcuni obblighi che saranno invece differiti al 2026.

Questo regolamento nasce per affrontare le sfide crescenti dell’economia dei dati, in cui una parte consistente del valore economico viene generata dall’analisi e dalla condivisione dei dati provenienti da dispositivi connessi, prodotti intelligenti e servizi digitali. L’obiettivo principale del Data Act è creare un contesto normativo che promuova l’accesso equo, la portabilità e la condivisione dei dati tra soggetti pubblici e privati, senza ostacolare l’innovazione e tutelando al contempo gli interessi economici e la riservatezza degli utenti.

Accesso equo ai dati come leva di innovazione

Non dobbiamo però confondere il Data Act con il Data Governance Act che è stato concepito per incentivare la circolazione dei dati all’interno dell’ecosistema europeo, rafforzando la fiducia tra i soggetti coinvolti e semplificando i processi di condivisione soprattutto in ambiti cruciali come sanità, ambiente, energia, agricoltura, trasporti, finanza, manifattura e pubblica amministrazione. Questo regolamento interviene principalmente sulle infrastrutture e sugli strumenti normativi necessari a rimuovere gli ostacoli tecnici e giuridici che limitano il riutilizzo dei dati nei settori pubblici e privati.

Diversamente, il Data Act si concentra sulle dinamiche economiche e commerciali che ruotano attorno al valore dei dati. Il suo scopo è regolamentare le modalità con cui aziende e cittadini possono accedere e utilizzare le informazioni generate da una vasta gamma di tecnologie, tra cui dispositivi IoT, strumenti diagnostici intelligenti e assistenti vocali. Il principio ispiratore è quello di garantire un accesso equo, non discriminatorio e trasparente a questi dati, così da stimolare l’innovazione, la concorrenza e l’emergere di nuovi modelli di business in un contesto digitale sempre più interconnesso, creando un contesto di fiducia e interoperabilità.

Elementi chiave del Data Act

Il cuore del Data Act è costituito dall’adozione di regole comuni e armonizzate sull’utilizzo dei dati e sul diritto di accedervi in condizioni eque. Tra i suoi elementi distintivi rientrano:

Accesso ai dati generati da dispositivi connessi

Uno degli aspetti centrali del Data Act è l’introduzione di un diritto generalizzato per gli utenti di dispositivi connessi (prodotti IoT, auto intelligenti, elettrodomestici smart) ad accedere ai dati generati durante l’uso e a condividerli con terze parti. Questo riduce il monopolio informativo del produttore e apre il mercato a servizi post-vendita innovativi e più concorrenziali.

Contratti equi e trasparenti nel data sharing

Il regolamento vieta le clausole contrattuali abusive nei rapporti B2B che impediscono l’accesso o l’uso dei dati in modo ingiustificato. Si promuove l’equità nei contratti tra soggetti economici, in particolare nei rapporti tra grandi aziende e PMI, evitando squilibri che possano compromettere la competitività.

Data sharing obbligatorio in situazioni eccezionali

Il Data Act introduce la possibilità per gli enti pubblici di accedere ai dati detenuti da soggetti privati in caso di emergenze di interesse pubblico (calamità naturali, crisi sanitarie, emergenze energetiche). Ciò avviene nel rispetto del principio di proporzionalità e con adeguate garanzie per le imprese.

Portabilità dei dati e interoperabilità

Il regolamento prevede che i dati siano resi disponibili in formati strutturati, leggibili da macchina e interoperabili, per consentire la portabilità tra piattaforme e sistemi. Questo elemento è essenziale per evitare fenomeni di lock-in tecnologico e favorire la concorrenza nel mercato dei servizi digitali.

Libertà di cambiare fornitore di servizi cloud

Il Data Act rafforza la libertà degli utenti di passare da un fornitore di cloud a un altro, imponendo ai provider l’obbligo di rimuovere barriere tecniche, contrattuali o economiche che ostacolano il trasferimento dei dati e la continuità del servizio.

Tutela dei segreti commerciali e della proprietà intellettuale

Pur promuovendo la condivisione, il Data Act protegge le informazioni riservate, imponendo misure tecniche e organizzative a chi riceve i dati per impedirne l’uso improprio. L’accesso ai dati non può compromettere i diritti di proprietà intellettuale o le informazioni strategiche di un’impresa.

Ruolo attivo del consumatore e dell’impresa utente

Il regolamento attribuisce potere decisionale all’utente (consumatore o impresa) sul destino dei dati generati dai propri dispositivi. Questo approccio “data empowerment” è volto a riequilibrare il rapporto tra produttori e utilizzatori e a rendere l’utente protagonista attivo dell’economia dei dati.

Data act e Gdpr: armonizzazione tra protezione e condivisione

A differenza del GDPR, che disciplina i dati personali e la loro protezione, il Data Act si focalizza sull’accesso e la condivisione dei dati non personali, sebbene riconosca che in molti casi i dati generati dai dispositivi possano essere misti (contenere cioè sia dati personali che non personali). Questa coesistenza richiederà una forte armonizzazione tra le due normative, specialmente nei casi in cui le aziende debbano gestire il passaggio di dati a terzi, garantire la trasparenza, evitare pratiche anticoncorrenziali e implementare misure tecniche per assicurare la sicurezza dei flussi informativi.

Data holder e utente nel data act: ruoli e responsabilità

Il Data Act identifica con precisione i ruoli dei principali soggetti interessati dal nuovo regime di accesso e condivisione dei dati. Tra questi, due figure centrali sono il Data Holder e l’Utente: ai sensi dell’articolo 2(6) del Data Act, il Data Holder è qualsiasi soggetto, sia esso una persona fisica o giuridica, che detiene il potere, il diritto o la possibilità tecnica di rendere accessibili determinati dati, in particolare quelli generati o raccolti da prodotti connessi o dai servizi digitali associati. L’esempio più calzante è: un produttore di dispositivi smart o un’auto connessa oppure di un fornitore di servizi digitali come un’app per il monitoraggio da remoto.

Quando un Utente richiede i dati, il Data Holder è tenuto a condividerli, sia con l’Utente stesso che con un terzo indicato dall’Utente, secondo le modalità stabilite dal regolamento.

L’Utente, definito dall’art. 2(7) del Data Act, è colui che possiede, prende in affitto o utilizza un prodotto connesso, oppure beneficia di un servizio digitale ad esso collegato. Può essere una persona fisica (un consumatore) o una persona giuridica (un’azienda, un ente).

Il regolamento riconosce all’Utente il diritto di accedere ai dati generati durante l’utilizzo del prodotto o servizio. Questo accesso deve essere semplice, gratuito e comprensibile.

Per esempio, se un consumatore acquista un frigorifero smart e utilizza un’app per regolarne automaticamente la temperatura, l’Utente in questo caso ha a che fare con due Data Holder:

• il produttore dell’elettrodomestico, che gestisce i dati tecnici del dispositivo;
• lo sviluppatore dell’app, che elabora e raccoglie informazioni relative all’uso personalizzato.

Entrambi sono tenuti a fornire all’Utente informazioni trasparenti su quali dati vengono raccolti, e a mettere tali dati a disposizione secondo modalità accessibili e senza costi.

Portabilità dei dati: dal Gdpr al Data Act

L’Utente, a sua discrezione, può decidere di trasferire questi dati a terze parti, ad esempio in caso di cambio fornitore per servizi di assistenza, diagnostica o manutenzione, oppure per accedere a nuove funzionalità o vantaggi. In ogni situazione, l’elemento chiave è la trasparenza: l’utente deve sempre poter sapere quali dati vengono raccolti, da chi e con quale finalità.

Ecco una versione riscritta in forma originale e fluida, che conserva tutti i concetti ma con un’esposizione nuova e riformulata:

Come già accennato in apertura, il Data Act interviene direttamente sul tema dell’accesso e della condivisione dei dati, siano essi personali o non personali. Tuttavia, proprio in relazione ai dati personali, è inevitabile porsi la questione di come il nuovo regolamento si armonizzerà, in futuro, con le disposizioni già contenute nel Regolamento (UE) 2016/679 (GDPR).

In questo contesto, è opportuno richiamare l’articolo 20 del GDPR, che ha introdotto un importante diritto inedito per gli interessati: il diritto alla portabilità dei dati. Secondo quanto previsto dal paragrafo 1 della norma, l’interessato ha il diritto di ottenere i dati personali che lo riguardano e che ha fornito a un titolare, in un formato strutturato, di uso comune e leggibile da un dispositivo automatico, con la possibilità di trasferirli ad un altro titolare, senza ostacoli da parte del precedente. Questo diritto, tuttavia, è limitato a tre condizioni: il trattamento deve essere basato sul consenso (art. 6, par. 1, lett. a o art. 9, par. 2, lett. a), oppure su un contratto (art. 6, par. 1, lett. b), e deve essere svolto con strumenti automatizzati.

La portabilità si configura come una forma avanzata di diritto di accesso, arricchita da una dimensione attiva e proiettata verso il futuro, tanto da poter essere vista come parte di un più ampio “diritto digitale alla privacy”.

Il paragrafo 2 della disposizione amplia ulteriormente la portata del diritto, stabilendo che, se tecnicamente possibile, l’interessato può ottenere il trasferimento diretto dei propri dati da un titolare all’altro. Tuttavia, il successivo paragrafo 3 chiarisce che tale diritto non si applica ai trattamenti effettuati nell’ambito dell’esercizio di compiti di interesse pubblico o di pubblici poteri. Infine, il paragrafo 4 aggiunge una garanzia fondamentale: l’esercizio del diritto alla portabilità non deve pregiudicare i diritti e le libertà altrui. In altre parole, i dati che includono informazioni su terzi non possono essere trasferiti se ciò comporterebbe una violazione della loro privacy o dei loro diritti.

Questa stessa logica di tutela degli interessi legittimi di terze parti si estende anche ad altri tipi di dati, come le informazioni protette da diritti di proprietà intellettuale o quelle classificate come segreti commerciali: in tali casi, la portabilità è consentita solo se non comporta rischi per i titolari di tali diritti o informazioni.

Interpretazione del diritto di portabilità: linee guida e limiti

Sebbene l’art. 20 del GDPR sembri formulato in modo chiaro, in sede applicativa è emersa una questione tutt’altro che banale: quali dati, concretamente, l’interessato ha diritto di portare con sé?

La disposizione fa riferimento ai dati “forniti dall’interessato”, ma non entra nel dettaglio su cosa si intenda esattamente per “forniti”. È in questo vuoto interpretativo che sono intervenute le Linee guida del Gruppo di lavoro Articolo 29 del 13 dicembre 2016 e aggiornate il 5 aprile 2017.

Secondo tale interpretazione autorevole, l’espressione “forniti da” include sia i dati comunicati attivamente dall’interessato, sia quelli osservati indirettamente attraverso l’uso di un servizio o dispositivo (es. cronologia delle attività, dati di utilizzo). Sono invece esclusi dal diritto alla portabilità i dati dedotti o generati dal titolare attraverso processi di analisi e profilazione.

Questa distinzione ha implicazioni significative, soprattutto nell’era dei Big Data, in cui gran parte del valore si estrae da informazioni generate automaticamente o elaborate. Il diritto alla portabilità, così come concepito dal GDPR, non si estende ai risultati dell’analisi algoritmica, anche se riferiti all’interessato, e ciò pone importanti limiti in termini di effettiva mobilità dei dati.

Integrazione tra Data Act e Gdpr: complementarità normativa

Alla luce di quanto esposto, è interessante riflettere su come il diritto alla portabilità dei dati previsto dal GDPR si integri con quanto stabilito nel Data Act. Come sottolineato da esperti del settore, il diritto alla portabilità rappresenta un meccanismo di frontiera, proiettato verso scenari futuri, che oggi iniziano a concretizzarsi proprio con l’adozione del Data Act.

In tal senso, il nuovo Regolamento europeo sui dati non contraddice quanto previsto dal GDPR, ma si propone come completamento e rafforzamento. L’articolo 1, paragrafo 3 del Data Act lo chiarisce esplicitamente: le sue disposizioni non incidono sull’applicazione del GDPR, né limitano i poteri delle autorità di protezione dei dati. Al contrario, i due regolamenti devono essere letti in modo complementare.

In particolare, per quanto riguarda i diritti riconosciuti agli utenti nel capo II del Data Act, se tali utenti sono anche soggetti interessati ai sensi del GDPR, le previsioni del nuovo Regolamento estendono e arricchiscono il diritto alla portabilità, andando oltre i vincoli previsti all’art. 20 e includendo anche dati non personali o dati generati da dispositivi connessi, finora esclusi dalla portata applicativa del GDPR.

Obblighi aziendali nel Data Act: adeguamento tecnico e contrattuale

Le imprese saranno tenute ad adeguarsi a una serie di obblighi tecnici e contrattuali. Sarà innanzitutto necessario mappare i flussi di dati generati dai propri prodotti o servizi digitali, classificandoli correttamente tra dati personali, non personali e misti. Successivamente, andranno predisposte interfacce tecniche (API) che consentano l’esportazione e la condivisione dei dati, con particolare attenzione all’interoperabilità e alla sicurezza.

Sul piano contrattuale, le imprese dovranno aggiornare le proprie condizioni generali e i contratti di servizio, garantendo clausole eque e non discriminatorie per quanto riguarda l’uso dei dati. Sarà vietato imporre restrizioni contrattuali che impediscano all’utente di condividere i dati con soggetti terzi. Inoltre, nei rapporti con le PMI, le clausole contrattuali non potranno prevedere squilibri eccessivi o pratiche abusive, pena la nullità.

Protezione dei segreti commerciali e condivisione in emergenze

Un altro aspetto fondamentale è la protezione dei segreti commerciali e della proprietà intellettuale. Il Data Act stabilisce che l’accesso ai dati non deve compromettere la riservatezza delle informazioni industriali, ma affida alle imprese l’onere di attuare misure tecniche e organizzative adeguate al fine di proteggere tali informazioni nel contesto della condivisione.

Inoltre, in situazioni eccezionali definite dalla legge (emergenze pubbliche, disastri naturali, crisi sanitarie), le imprese potranno essere obbligate a condividere dati con le autorità pubbliche, secondo procedure specifiche che garantiscano il rispetto del principio di proporzionalità e la protezione dei diritti degli interessati.

Data Act e governance integrata con il Gdpr

Il Data Act rappresenta molto più di una regolamentazione settoriale: è un punto di svolta nell’architettura normativa europea in materia di dati, in cui l’accesso, la condivisione e il riutilizzo diventano leve strategiche per l’innovazione, la competitività e la sovranità digitale. La transizione da un’economia basata sull’accaparramento del dato a un modello collaborativo e interoperabile è una sfida culturale prima ancora che tecnica.

Ma questo percorso non si compie in solitudine. Al centro di questo nuovo ecosistema rimane saldamente ancorato il GDPR, vera e propria infrastruttura giuridica fondamentale che continuerà a governare il trattamento dei dati personali in ogni ambito.

In prospettiva, è evidente che ogni nuovo tassello normativo dovrà armonizzarsi con il GDPR, in un sistema coerente, interoperabile e orientato alla fiducia. È proprio in questa interconnessione che risiede la forza dell’Europa: nella capacità di legiferare non per compartimenti stagni, ma costruendo un quadro normativo integrato, dinamico e sostenibile, capace di accompagnare la crescita di un’economia dei dati aperta, sicura e inclusiva.

Il futuro dell’innovazione digitale europea non sarà solo questione di tecnologie avanzate, ma di regole intelligenti e responsabilità condivise. E in questo futuro, il Data Act è una bussola, non un punto d’arrivo.