Il Data Act

Cos'è il Data Act?

Il Data Act è una legge dell'EU progettata per regolamentare la crescente economia dei dati. In sostanza, mira a impedire alle aziende di utilizzare i dati per bloccarti nei loro servizi. È importante sottolineare che questo vale sia per i dati generati da organizzazioni che da individui. Ciò potrebbe renderlo davvero trasformativo per le startup, che spesso sono bloccate nei fornitori che controllano i loro dati.

Qual è la differenza tra il GDPR e il Data Act?

L'EU Data Act è entrato in vigore nel settembre 2025. Offre alle aziende e ai consumatori il diritto di accedere a tutti i dati generati da prodotti e servizi connessi. Sebbene ci sia qualche potenziale sovrapposizione con GDPR, ci sono alcune differenze fondamentali. Ecco i primi 5:

1. Ambito di applicazione dell'atto. Il Data Act si applica sia agli individui che alle organizzazioni. Si tratta di un'estensione significativa del GDPR.
2. Copertura dei dati. L'atto copre tutti i dati generati da prodotti e servizi connessi. In altre parole, tutti i dati relativi a dispositivi IoT, prodotti SaaS, piattaforme di streaming e altro ancora. Al contrario, il GDPR si riferisce solo ai dati personali ma in qualsiasi forma.
3. Accesso al settore pubblico. La nuova legge stabilisce norme relative all'accesso ai dati del settore pubblico. Sebbene il GDPR consenta il riutilizzo dei dati per l'archiviazione o la ricerca, questo va ben oltre.
4. Facilitare il cambio di servizio. Il Data Act richiede esplicitamente alle aziende di semplificare il passaggio da un fornitore all'altro. Ciò estende le protezioni già previste dal GDPR per i dati personali.
5. Obblighi per i produttori. Il Data Act richiede ai produttori (comprese le società di software) di facilitare l'accesso ai propri dati da parte di persone e aziende e richiede loro di farlo gratuitamente. Questa è un'altra differenza rispetto al GDPR, in cui in alcune circostanze può essere addebitata una piccola commissione per l'accesso ai dati.

Il Data Act chiarisce che estende le protezioni offerte dal GDPR, anziché sostituirle. Per i dati personali, il GDPR continuerà ad avere la precedenza. Tuttavia, ora sono coperti anche i dati che prima non rientravano nell'ambito di applicazione.

Cosa copre il Data Act?

Il Data Act copre tutti i dati generati da un «prodotto connesso» che è stato «immesso sul mercato nell'UE». Dobbiamo esplorarli entrambi per comprendere la portata dell'atto.

Prodotti connessi

Il Data Act copre una vasta gamma di prodotti e servizi, tra cui:

• Qualsiasi servizio cloud, piattaforma o SaaS, anche solo per il B2B
• Dispositivi IoT come dispositivi intelligenti
• Dispositivi medici e sensori connessi
• Dispositivi integrati nei veicoli o in altri prodotti

Tuttavia, non tutti i dati rientrano nell'ambito di applicazione. Ad esempio, se «arricchisci» i dati tramite l'uso dell'intelligenza artificiale o di altri algoritmi proprietari. In questo caso, devi solo condividere i dati di origine e tutti i metadati pertinenti che li rendano comprensibili. Tuttavia, tutti i dati «cogenerati» dall'utente devono essere condivisi.

(Ci aspettiamo che il concetto di dati arricchiti sia uno dei punti di contesa e discussione legale relativi al Data Act).

«Immesso sul mercato nell'UE»

Questa è una frase molto importante nella legge. Si riferisce a qualsiasi prodotto venduto nell'UE per essere utilizzato nell'UE. Vi sono due eccezioni fondamentali: se un prodotto viene venduto per l'esportazione immediata dall'UE, non rientra nel campo di applicazione. Inoltre, se un individuo acquista un prodotto in un paese terzo e lo importa per essere utilizzato nell'UE, quel prodotto non rientra nel campo di applicazione.

Che dire dei dati generati al di fuori dell'UE?

Il Data Act si applica a qualsiasi prodotto venduto nell'UE per essere utilizzato nell'UE (ad esempio non per l'esportazione immediata). Tuttavia, se il prodotto è stato acquistato nell'UE per essere utilizzato nell'UE e successivamente utilizzato al di fuori dell'UE, i dati generati rientrano ancora nell'ambito di applicazione del Data Act. L'importante è se il prodotto è stato «immesso sul mercato» nell'UE.

Cosa significa il Data Act per la mia startup?

Se la tua azienda vende prodotti connessi per l'uso nell'UE, sei soggetto al Data Act. Quindi, cosa devi fare al riguardo? Ecco un piano in 5 fasi per te:

1. Verifica se rientri nell'ambito di applicazione della legge. Molti servizi online rientreranno nell'ambito di applicazione, ma solo se generano dati. Molte app rientreranno nell'ambito di applicazione se utilizzano la strumentazione per raccogliere dati sul dispositivo di un utente. (Tuttavia, solo i dati della strumentazione sono coperti dalla legge).
2. Elenca tutti i dati che raccogli tramite i «servizi connessi» e scopri come renderli disponibili su richiesta. Come per il GDPR, i dati devono essere in un formato adeguato. Può essere semplice come un csv o potrebbe essere qualcosa come un file YAML.
3. Metti in atto un meccanismo per consentire alle persone di contattarti per richiedere i propri dati. Ricorda che questo vale sia per le aziende che per gli individui. La cosa più semplice è un indirizzo email che possono contattare. Ma se ti aspetti molte richieste, potresti semplicemente voler automatizzare l'intero processo.
4. Crea i sistemi richiesti per semplificare la fornitura dei dati quando richiesto. Potresti già farlo per il GDPR.
5. Aggiorna i tuoi Termini di servizio per riflettere il modo in cui il Data Act influisce sui tuoi utenti. Se leggi i ToS aggiornati per i servizi che già utilizzi, potresti trovare ispirazione.

Cosa c'è adesso?

Abbiamo anni di esperienza nell'aiutare le aziende di ogni dimensione a conformarsi al GDPR. Molti degli strumenti, dei meccanismi e dei trucchi che consigliamo per la conformità al GDPR sono direttamente trasferibili al Data Act. Contattaci oggi e saremo lieti di discutere della tua situazione con te.

‍