UniverseIT UniverseIT

EU Data Act: da domani (venerdì 12 settembre 2025) cambiano regole su dati IoT e “cloud switching”. Cosa significa (davvero) per le PMI

Autore: Filippo Torrini

Da domani, 12 settembre 2025, l’Unione Europea compie un passo decisivo verso un mercato dei dati più equo, competitivo e innovativo con la piena applicazione del Regolamento (UE) 2023/2854, meglio noto come Data Act. Questa normativa epocale introduce nuove regole sull’accesso e l’utilizzo dei dati generati da una moltitudine di prodotti connessi, dall’elettronica di consumo ai macchinari industriali, e ridefinisce i rapporti di forza tra produttori, fornitori di servizi cloud e utenti, siano essi aziende o privati cittadini. Per le imprese, in particolare le PMI, è il momento di agire per non subire passivamente il cambiamento ma trasformarlo in un’opportunità.

Il Data Act, pubblicato nella Gazzetta Ufficiale dell’Unione Europea il 22 dicembre 2023, mira a sbloccare l’enorme potenziale economico e sociale dei dati, troppo spesso confinati in “silos” controllati esclusivamente dai produttori dei dispositivi (i cosiddetti data holder). La logica di fondo è semplice: chi possiede o utilizza un prodotto connesso ha il diritto di accedere ai dati che genera e di decidere con chi condividerli.

EU Data Act: nuovi diritti di accesso e portabilità per l’Internet of Things (IoT)

Il cuore del regolamento, applicabile dal 12 settembre 2025, è il Capo II, che stabilisce il diritto per gli utenti di prodotti connessi (veicoli, elettrodomestici intelligenti, dispositivi medici, macchinari agricoli e industriali) di accedere ai dati da essi generati. Fino ad oggi, questi dati erano spesso accessibili in modo esclusivo al produttore o al fornitore del servizio, che poteva utilizzarli per migliorare i propri prodotti o venderli a terzi [ricordiamo che l’UE è intervenuta recentemente anche in materia di cybersecurity dei dispositivi connessi con la Radio Equipment Directive].

Con l’EU Data Act, gli utenti potranno:

  • accedere ai propri dati: i produttori dovranno progettare i loro prodotti e servizi in modo che i dati siano accessibili all’utente “di default”, in modo semplice, sicuro e, di norma, gratuito. Le informazioni dovranno essere fornite in un formato strutturato, di uso comune e leggibile da dispositivo automatico;
  • condividere i dati con terze parti: l’utente potrà richiedere al produttore di mettere i dati a disposizione di un soggetto terzo di sua scelta, ad esempio un’azienda che offre servizi di riparazione e manutenzione post-vendita. Questo aprirà il mercato a nuovi servizi innovativi e aumenterà la concorrenza, consentendo, ad esempio, a un’officina indipendente di avere gli stessi dati diagnostici di un centro autorizzato.

È fondamentale notare che questi obblighi si applicheranno ai nuovi prodotti immessi sul mercato a partire dal 12 settembre 2026, per i quali vige un requisito di “accesso ai dati fin dalla progettazione” (data access by design).

La sfida del segreto commerciale

Una delle preoccupazioni maggiori sollevate dalle imprese produttrici riguarda la protezione del segreto industriale. Il Data Act affronta questo tema stabilendo un equilibrio: i dati che costituiscono segreto commerciale possono e devono essere protetti. Il titolare dei dati può rifiutare la condivisione solo in “circostanze eccezionali” in cui dimostri un’alta probabilità di subire un grave danno economico. In tutti gli altri casi, l’accesso è garantito, ma il titolare può concordare con l’utente o con la terza parte delle misure di salvaguardia, come accordi di non divulgazione (NDA), per preservarne la riservatezza.

Cloud Switching: fine del “vendor Lock-in” e contratti più aperti

Un’altra area di profondo cambiamento riguarda i servizi di trattamento dei dati, come il cloud computing. Il Data Act mira a rimuovere gli ostacoli tecnici, contrattuali ed economici che rendono difficile per i clienti passare da un fornitore di cloud a un altro, un fenomeno noto come “vendor lock-in“.

Dal domani, 12 settembre 2025, le nuove regole imporranno:

  • obblighi contrattuali di trasparenza: i fornitori dovranno fornire informazioni chiare e dettagliate sulle procedure, i tempi e i costi per il cambio di fornitore e per l’esportazione dei dati;
  • rimozione graduale delle penali: i corrispettivi per il cambio di fornitore (switching charges) saranno progressivamente eliminati. A partire dal 12 settembre 2025 dovranno essere ridotti e, dopo un periodo transitorio di tre anni, dovranno essere completamente azzerati;
  • interoperabilità tecnica: i fornitori dovranno adottare standard aperti per garantire una maggiore interoperabilità e portabilità dei dati e delle applicazioni digitali.

Il calendario degli adempimenti: una roadmap per l’innovazione

La timeline di implementazione del Data Act non è casuale, ma riflette una strategia graduale di trasformazione:

  • 12 settembre 2025: entrata in vigore delle disposizioni principali su accesso e portabilità dei dati. Le imprese dovranno garantire che i contratti cloud e IoT rispettino i nuovi standard di trasparenza e accessibilità;
  • 12 settembre 2026: i prodotti immessi sul mercato dopo questa data devono essere progettati tenendo presente la condivisione dei dati. Un obbligo che riguarda non solo i produttori, ma anche gli integratori di sistemi;
  • 12 gennaio 2027: fine definitiva delle tariffe di switching per i servizi cloud. La portabilità diventa gratuita e immediata.

Cosa possono fare ora le PMI: una check-list

Per le Piccole e Medie Imprese, che spesso hanno un minor potere contrattuale nei confronti dei grandi fornitori di tecnologia, il Data Act rappresenta una notevole opportunità. Tuttavia, è necessario prepararsi attivamente.

Ecco una check-list delle azioni da intraprendere ora:

  1. verifica dei contratti cloud in essere e futuri
    • analizzare le clausole: esaminare attentamente i contratti con i fornitori di servizi cloud, prestando particolare attenzione alle condizioni di portabilità dei dati, ai tempi previsti per l’esportazione, alla presenza di penali per il recesso e ai formati in cui i dati vengono restituiti;
    • pianificare la strategia di uscita (exit strategy): anche se non si intende cambiare fornitore nell’immediato, è cruciale avere un piano chiaro su come migrare i propri dati e le proprie applicazioni. Il Data Act fornisce gli strumenti legali per renderlo possibile;
  2. per chi vende o integra prodotti connessi (IoT):
    • preparare una Data Access Policy: sviluppare una politica chiara e trasparente su come gli utenti possono accedere ai dati generati dai prodotti. Questa policy deve specificare quali dati sono accessibili, le modalità di richiesta e i tempi di risposta;
    • bilanciare accesso e segreto commerciale: identificare quali dati generati dai prodotti possono costituire un segreto commerciale e definire le misure di protezione da adottare in caso di richiesta di condivisione da parte di un utente o di un terzo. Questo richiede un’analisi legale e tecnica approfondita;
  3. mappatura e allineamento dei dati:
    • evitare il lock-in “nascosto”: spesso il vincolo verso un fornitore non è solo contrattuale, ma anche tecnico. È essenziale mappare i flussi di dati tra i diversi sistemi aziendali per comprendere le dipendenze e assicurarsi che i dati possano essere estratti e utilizzati in un altro ambiente. Non attendere la scadenza del contratto per scoprire che la migrazione è tecnicamente complessa o estremamente costosa.
Filippo Torrini
Tutti gli articoli di Filippo Torrini

Articoli correlati