
Al, le regole invitano le imprese a investire sulla governance
6 Luglio 2026
Data Act e GDPR: l'accesso ai dati dei prodotti connessi tra piena applicabilità e la riforma “Digital Omnibus”
Dal 12 settembre 2025 è pienamente applicabile il Regolamento (UE) n. 2023/2854 (“Data Act” o “Regolamento”), entrato in vigore in data 11 gennaio 2024. Si tratta di uno dei pilastri della Strategia europea per i dati e, insieme al Data Governance Act, dell'architrave normativo della cosiddetta data economy europea.
Tra i molteplici temi di cui si occupa — dalle condizioni contrattuali per la messa a disposizione dei dati tra imprese, alla portabilità tra servizi di trattamento dei dati (switching cloud), fino all'accesso ai dati da parte degli enti pubblici in situazioni di necessità eccezionale — il Regolamento disciplina anzitutto le modalità di accesso ai dati generati dai prodotti connessi e dai relativi servizi correlati.
La nozione di prodotto connesso, introdotta dall'art. 2, comma 5, del Regolamento, è volutamente ampia: vi rientrano macchinari industriali, veicoli, elettrodomestici, dispositivi medici, infrastrutture di smart city e smart grid e, in generale, ogni bene che ottiene, genera o raccoglie dati relativi al proprio utilizzo o al proprio ambiente e che è in grado di comunicarli. Ai prodotti connessi si affiancano i servizi correlati (art. 2, comma 6): vale a dire quei servizi digitali, strettamente collegati al prodotto a tal punto che la loro assenza impedirebbe al prodotto stesso di svolgere una o più delle sue funzioni (si pensi ad esempio alle app di diagnostica integrata o alle soluzioni di manutenzione da remoto).
2. Il cuore della disciplina: il Capo II del Data Act
I passaggi chiave della disciplina sull'accesso ai dati sono contenuti nel Capo II del Regolamento (artt. 3-7), che ridisegna la relazione tra utente, fabbricante e titolare dei dati provando a riequilibrare l’asset informativo: chi, utilizzando un prodotto connesso o un servizio correlato, contribuisce alla generazione dei dati, ha il diritto di accedervi e di disporne. In quest’ottica, il Capo II introduce 3 istituti rilevanti:
a) il diritto di accesso dell'utente. Ai sensi dell'art. 4, l'utente — sia esso persona fisica o giuridica, proprietario, locatario o utilizzatore in leasing del prodotto — ha il diritto di accedere ai dati del prodotto e del servizio correlato prontamente disponibili, compresi i metadati pertinenti necessari alla loro interpretazione e al loro utilizzo. L'accesso deve essere garantito senza indebito ritardo, gratuitamente, in un formato completo, strutturato, di uso comune e leggibile da dispositivo automatico e, ove tecnicamente possibile, in modo continuo e in tempo reale.
b) Il diritto di condivisione con terzi. Ai sensi dell'art. 5, l'utente ha inoltre il diritto di chiedere che il titolare dei dati li metta a disposizione di un terzo di sua scelta — ad esempio, in caso voglia affidare la riparazione del prodotto ad un terzo indipendente, o anche nel caso di un fornitore di servizi di analisi — gratuitamente per l'utente e senza ostacoli. È il meccanismo che intende scardinare i c.d. lock-in (d.R. situazioni di dipendenza in cui un’azienda rimane vincolata a un fornitore hardware, software o cloud), tipici dell'economia dell'IoT, aprendo i mercati secondari (aftermarket) e dei servizi accessori. Il terzo destinatario è tuttavia soggetto a stringenti limiti di utilizzo ai sensi dell’art. 6, tra cui il divieto di impiegare i dati per sviluppare prodotti concorrenti rispetto al prodotto connesso da cui i dati provengono.
c) L'informativa precontrattuale. Prima della conclusione del contratto di acquisto, locazione o leasing di un prodotto connesso — e, analogamente, prima della conclusione del contratto per il servizio correlato — l'art. 3, commi 2 e 3, del Data Act impone di fornire all'utente un'informativa contenente elementi specifici: tra gli altri il tipo, il formato e il volume stimato dei dati che il prodotto è in grado di generare; se la generazione avviene in modo continuo e in tempo reale; se il dispositivo archivia in locale o da remoto, le modalità di accesso, estrazione e cancellazione; l'identità del titolare dei dati e i suoi dati di contatto; la durata della conservazione; le modalità di esercizio dei diritti e di reclamo all'autorità competente. Si tratta, nella struttura e nella funzione, di un adempimento simile alla classica informativa privacy ex artt. 13 e 14 del Regolamento n. 2016/679 (“GDPR”): uno strumento di trasparenza che condiziona a monte la validità dell'assetto contrattuale di circolazione dei dati. Tuttavia, se ne differenzia, e pertanto non bisogna fare confusione.
Alcune norme del Data Act godono di una applicazione posticipata; in particolare, dal 12 settembre 2026 opererà l'obbligo di cd. “accessibilità by design” (art. 3, comma 1): i prodotti connessi immessi sul mercato e i servizi correlati dovranno essere progettati e forniti in modo tale che i dati siano, per impostazione predefinita, facilmente e direttamente accessibili all'utente, in modo sicuro e gratuito, in un formato completo, strutturato di uso comune e leggibile da dispositivo automatico.
3. Data Act e GDPR: stesso mindset ma diversa funzione
Va sottolineato con chiarezza che il Data Act si affianca al GDPR e non lo sostituisce. Il punto è espressamente disciplinato dall'art. 1, comma. 5: il Data Act lascia impregiudicato il diritto dell'Unione europea in materia di protezione dei dati personali e, in caso di conflitto, la normativa data protection prevale.
I dati generati dai prodotti connessi e dai servizi correlati possono infatti rientrare — e frequentemente rientrano — nella definizione di dato personale di cui all'art. 4, comma 1, del GDPR: si pensi ai dati relativi alla guida di un veicolo connesso, ai parametri rilevati da un dispositivo medico indossabile, ai consumi registrati da uno smart meterdomestico. In tutti questi casi, l'esercizio dei diritti previsti dal Capo II del Data Act non può prescindere dall'individuazione di un'idonea base giuridica ai sensi dell'art. 6 del GDPR, in particolare in tutti quei casi in cui l'utente che richiede l'accesso o la condivisione non coincide con l'interessato cui i dati si riferiscono. In tale ipotesi, il titolare dei dati potrà mettere i dati a disposizione solo in presenza di un valido fondamento di liceità del trattamento.
Il risultato, quindi, è un doppio binario di compliance: gli obblighi del Data Act si sommano — e non si sostituiscono — a quelli del GDPR, e le organizzazioni sono chiamate a mappare i flussi informativi distinguendo la componente personale da quella non personale dei dataset generati, con tutte le complessità che tali archivi misti comporta.
4. La proposta Digital Omnibus: cosa cambia (e cosa non cambia) per il Data Act
Come noto, il 19 novembre 2025 la Commissione europea ha presentato il pacchetto Digital Omnibus, articolato in due proposte gemelle di regolamento: la proposta COM(2025) 837, che introduce modifiche semplificative al GDPR, alla direttiva ePrivacy e alla normativa sui dati — tra cui il Data Governance Act, il Regolamento (UE) 2018/1807 sulla libera circolazione dei dati non personali e, appunto, il Data Act — e la proposta COM(2025) 836, dedicata all'AI Act, recentemente approvata da Consiglio UE e dal Parlamento europeo.
Quanto al Data Act, la proposta persegue una logica di razionalizzazione più che di riscrittura, come ad esempio: l'incorporazione nel testo del Regolamento delle discipline del Data Governance Act e del Regolamento sulla libera circolazione dei dati non personali, per fare del Data Act il testo unico di riferimento sull'accesso, la condivisione e il riutilizzo dei dati; il rafforzamento della tutela dei segreti commerciali, con la facoltà per il titolare dei dati di rifiutarne la messa a disposizione in presenza di un rischio elevato di acquisizione o divulgazione illecita verso Paesi terzi; il ridimensionamento del perimetro dell'accesso business-to-government (Capo V), ricentrato sulle sole emergenze pubbliche; correttivi mirati in materia di switching tra servizi cloud e un alleggerimento della disciplina sugli smart contract.
Da un'analisi della proposal emerge tuttavia un dato chiaro, e per gli operatori del mercato decisivo: l'attività di riforma non tocca gli obblighi fondamentali in materia di accesso e condivisione dei dati generati dai prodotti connessi e dai servizi correlati. Il Capo II è rimasto invariato. I diritti di accesso dell'utente, il diritto di condivisione con terzi, l'informativa precontrattuale e l'obbligo di accessibilità by design restano dunque il perno stabile della disciplina, immune (per il momento) dal cantiere di semplificazione.
Del resto, la proposal è tuttora in itinere. Mentre l'Omnibus sull'AI Act ha concluso il proprio iter — con l'approvazione del Parlamento europeo il 16 giugno 2026 e l'adozione definitiva del Consiglio UE il 29 giugno 2026 — la proposta “sui dati” segue ancora la procedura legislativa ordinaria, con negoziati resi complessi dalle divergenze emerse in seno al Consiglio (in particolare sulla proposta di ridefinizione della nozione di dato personale) e dal parere congiunto fortemente critico reso dallo European Data Protection Board (“EDPB”) e dallo European Data Protection Supervisor(“EDPS”) in data 11 febbraio 2026. Fino all'eventuale adozione definitiva e alla pubblicazione in Gazzetta ufficiale dell'Unione, tocca ora alla Presidenza irlandese del Consiglio UE riprendere e portare avanti le negoziazioni a partire dal 1° luglio 2026 . In ogni caso, le regole vigenti restano integralmente applicabili.
5. Il quadro italiano: l'assenza dell'autorità di controllo non sospende gli obblighi
Sul versante interno, l'art. 37 del Data Act impone a ciascuno Stato membro di designare una o più autorità competenti per il monitoraggio e l'applicazione del Regolamento — con l'individuazione, in caso di pluralità di autorità, di un “coordinatore dei dati” quale punto di contatto unico — e di definire il regime sanzionatorio nazionale, che deve essere effettivo, proporzionato e dissuasivo. Il termine per la designazione e per la notifica alla Commissione era fissato al 12 settembre 2025.
L'Italia, alla data odierna, non ha ancora adottato il decreto attuativo, né designato l'autorità di controllo responsabile del monitoraggio del Data Act sul territorio nazionale, esponendosi al rischio di procedura d'infrazione.
Sarebbe tuttavia un errore trarne conclusioni semplicistiche sul piano della compliance. L'inerzia nazionale non incide infatti sulla vigenza degli obblighi sostanziali: il Data Act è un regolamento europeo, direttamente applicabile ex art. 288 del Trattato sul Funzionamento dell’Unione Europea (“TFUE”) e i diritti che esso attribuisce agli utenti — a partire da quelli del Capo II — sono azionabili a prescindere dal completamento del quadro nazionale di enforcement, se del caso anche in via giudiziale ordinaria.
6. Cosa significa, in concreto, per le organizzazioni?
Nonostante la complessità del panorama normativo digitale europeo, nonostante la proposta Digital Omnibus riguardi anche il Data Act e nonostante l'Italia non abbia ancora designato l'autorità di controllo competente, gli obblighi previsti dal Regolamento devono considerarsi pienamente applicabili, e da rispettare, già dal 12 settembre 2025.
Per le imprese il cui business riguarda prodotti connessi e servizi correlati, l'adeguamento non è rinviabile e passa, in concreto, per alcune direttrici operative:
1. la mappatura dei dati generati da prodotti e servizi, con la distinzione tra dati personali e non personali e l'individuazione del rispettivo regime;
2.la predisposizione dell'informativa precontrattuale ex art. 3 del Data Act e il suo coordinamento con l'informativa privacy;
- la revisione dei contratti B2B e B2C che disciplinano l'accesso e l'uso dei dati, anche alla luce del divieto di clausole abusive di cui al Capo IV del Regolamento;
- la definizione di procedure interne per la gestione delle richieste di accesso e condivisione, che garantiscano tracciabilità, sicurezza e tutela dei segreti commerciali;
- con orizzonte al 12 settembre 2026, l'integrazione dei requisiti di accessibilità by design nella progettazione dei nuovi prodotti e servizi.
In un ecosistema normativo in evoluzione, la stabilità del Capo II rappresenta, paradossalmente, la principale certezza su cui costruire — sin d'ora — la propria strategia di compliance.
Marta Fraioli - Counsel - Panetta Consulting Group
Data Act / Società
Visione/Diritto
