Dal 12 settembre 2025 il Data Act è applicabile. Per chi progetta, integra o utilizza soluzioni industriali connesse entrano in gioco diritti concreti di accesso ai dati per gli utenti dei prodotti/servizi IoT, limiti alle clausole che le contrattuali scorrette nella condivisione B2B, e una tabella di marcia stringente sullo switching cloud fino al divieto totale di switching charges (incluse egress fees) dal 12 gennaio 2027. Il senso della norma, nelle parole della Commissione, è riequilibrare il valore dei dati e ridurre il lock-in tecnico e contrattuale senza derogare al GDPR.
Timeline essenziale
Sebbene il Data Act sia entrato in vigore da quasi due anni e sia applicabile da settembre 2025, restano ulteriori scadenze operative nei prossimi mesi. Di seguito una timeline sintetica con le principali scadenze, gli obblighi e il relativo impatto operativo.
| Data | Cosa si applica | Come impatta |
| 11.01.2024 | Entrata in vigore del Data Act (20 giorni dopo la pubblicazione in Gazzetta Ufficiale dell’UE) | |
| 12.09.2025 | Inizio dell’applicazione generale del Data Act | È necessario prevedere l’accesso ai dati per gli utenti IoT; rivedere i contratti di data sharing; inserire clausole di switching e portabilità nei contratti cloud |
| 12.09.2026 | Obbligo “data access by design” per prodotti connessi e servizi correlati immessi sul mercato dopo questa data | Ogni nuovo prodotto/servizio connesso deve essere progettato per rendere i dati facilmente e in modo sicuro accessibili all’utente (API, formati, sicurezza) |
| 12.01.2027 | Stop totale agli “switching charges”, incluse egress fees: la migrazione non può essere addebitata, mentre prima di questa data sono ammessi solo costi diretti e trasparenti | Le egress fees e ogni altro switching charge spariscono: servono exit plan e ToS aggiornati |
| 12.01.2027 | Clausole abusive: estensione ai contratti B2B di lunga durata o a tempo indeterminato conclusi entro il 12/09/2025 | Vanno adeguati i contratti B2B “vecchi”, se lunghi e/o indefiniti |
Le principali novità
Vediamo ora quali sono le principali novità introdotte dal Data Act, che dallo scorso 12 settembre impattano sulle aziende.
IoT “data by design”
Il Data Act riconosce all’utente di un prodotto o servizio connesso il diritto di accedere ai dati generati dall’uso. Per i produttori e i fornitori di servizi correlati questo si traduce in un obbligo di progettare (o adeguare) prodotti e piattaforme in modo che tali dati siano facilmente e in modo sicuro accessibili, in formato strutturato e leggibile da macchina.
Cosa rientra. Dati grezzi generati dal dispositivo/servizio e i metadati minimi necessari alla loro interpretazione. Restano fuori i dati derivati come modelli predittivi e analisi complesse, e – salvo accordi diversi – i segreti industriali.
Come si accede. Il produttore deve indicare quali dataset sono disponibili, con interfacce stabili, specificare formati e frequenze, documentare sicurezza e livelli di servizio ragionevoli. L’utente può anche designare un terzo che acceda ai dati per suo conto.
Limiti e tutele. È legittimo applicare misure per proteggere sicurezza, IP e segreti commerciali; sono ammissibili misure di protezione tecnica (pseudonimizzazione, watermarking), purché non svuotino il diritto di accesso. Per i dati personali si applicano in parallelo GDPR e principi di minimizzazione.
Impatto contrattuale. Nei documenti precontrattuali e nei manuali tecnici andranno chiariti: elenco dei dataset, modalità di accesso, policy d’uso, responsabilità e SLA. Nei contratti post-vendita occorrono clausole su costs & support per l’abilitazione delle API, audit e risoluzione in caso di abuso.Effetti sul post-vendita. L’accesso ai dati riduce il lock-in: l’utente può alimentare un proprio data lake o affidarsi a operatori terzi per analitiche e manutenzione predittiva. Per i produttori, diventa un vantaggio competitivo offrire pacchetti dati chiari, con SDK e kit d’integrazione certificati.
Condivisione dati B2B: stop alle clausole abusive che sterilizzano il valore
Nel Data Act la leva più immediata per le imprese è la disciplina sulle clausole abusive nei contratti di condivisione dati tra aziende. L’obiettivo è semplice: evitare che, dietro formule generiche o penali sproporzionate, il diritto dell’utente ad accedere e riusare i propri dati venga svuotato. La regola vale fin da ora per i contratti conclusi dopo il 12 settembre 2025 e, con un periodo di adeguamento, per quelli a tempo indeterminato o di lunga durata firmati prima di tale data.
Che cosa cambia. Clausole di esclusiva generalizzata che vietano all’utente di condividere i dati con un terzo da lui designato (es. un manutentore indipendente) diventano difficili da giustificare; lo stesso accade per limitazioni d’uso formulate in modo vago (“solo per finalità interne”) o per manleve integrali che spostano ogni rischio sull’utilizzatore anche quando l’evento dannoso dipende dal fornitore. Allo stesso modo, formati proprietari non documentati, export “a discrezione” del vendor o soglie di throttling opache sono indizi di lock-in tecnico che il nuovo impianto scoraggia.
Tutele. Questo non significa contratti senza tutele. Restano legittime misure proporzionate per proteggere segreti commerciali e sicurezza (mascheramenti, sandbox, watermarking), così come divieti circoscritti nel tempo e nell’oggetto (per esempio il divieto di riutilizzare il dato per sviluppare un servizio in concorrenza diretta con quello del fornitore). La chiave è la proporzionalità: distinguere con chiarezza tra dati grezzi generati dal prodotto e dati derivati o arricchiti dal fornitore, e collegare eventuali corrispettivi non all’accesso al dato grezzo (che deve restare praticabile) ma ai servizi a valore: normalizzazione, arricchimento, analytics, supporto all’integrazione.Per procurement e uffici legali ne deriva un’impostazione più “ingegneristica” dell’offerta: un allegato dati che elenchi dataset, formati e frequenze, descriva le API e i livelli di servizio (disponibilità, logging, limiti di chiamata), chiarisca finalità ammesse e divieti specifici, e bilanci in modo credibile responsabilità, audit e rimedi. I Model Contractual Terms proposti a livello europeo sono utili come canovaccio per uniformare definizioni e clausole, ma il lavoro vero sta nel cucire il contratto sulla filiera: ciò che promettiamo in vendita deve corrispondere a ciò che l’OT/IT è in grado di erogare in esercizio.
Cloud switching: dall’intento alla exit strategy concreta
Il Data Act fissa regole chiare per cambiare fornitore e per la portabilità di dati, metadati e asset digitali. Fino al 12 gennaio 2027, per il cambio fornitore e la portabilità, il provider può addebitare esclusivamente costi diretti e trasparenti per assistere la migrazione; dal gennaio 2027, invece, ogni switching charge – egress fees incluse – sarà vietata.
La norma toglie al fornitore la leva economica del lock-in e sposta l’attenzione su pianificazione, formati e responsabilità.
La sicurezza e la compliance non possono essere sospese durante il passaggio: cifratura, backup e controlli devono continuare senza soluzione di continuità.
Le accortezze variano per modello di servizio. In IaaS (infrastructure-as-a-service)
il punto critico è l’equivalenza funzionale dell’ambiente di destinazione (risorse, rete, storage), perché eventuali dipendenze proprietarie possono sabotare la portabilità pur senza costi di uscita. In PaaS/SaaS (platform-as-a-service/ software-as-a-service) contano soprattutto API documentate, schemi dati chiari e strumenti di export massivo: i vincoli su formati proprietari sono ammissibili solo se motivati e proporzionati.
Lato cliente, lo switching “funziona” se è pensato già in onboarding. Serve un inventario aggiornato (dataset e metadati, configurazioni, dipendenze di licenza, integrazioni critiche), prove di export e un runbook di ri-avvio sull’ambiente target, con metriche di riuscita (tempi, integrità dei dati, error budget) e un RACI che ripartisca ruoli tra IT interno, fornitore e integratori.
Infine, il percorso di disattivazione va definito prima della migrazione: quanto resta acceso, per quanto tempo e dove, con policy di retention coerenti con gli obblighi regolatori e contrattuali. In sintesi, il valore non è “poter migrare”, ma saperlo fare senza downtime e senza sorprese: il Data Act crea lo spazio giuridico; la differenza la fa la qualità della contrattualizzazione e della preparazione tecnica.
Smart contracts per lo scambio di dati
Quando la condivisione dei dati è automatizzata tramite smart contract, il Data Act chiede più di un semplice “ok” tecnico: pretende robustezza, controlli di accesso efficaci e tracciabilità degli eventi. Il punto decisivo è la safe termination/interruption: deve essere sempre possibile sospendere o chiudere l’esecuzione in modo controllato per evitare conseguenze indesiderate – dalla diffusione non autorizzata alla violazione di segreti commerciali – senza compromettere l’integrità dei dati o i diritti dell’utente. In parallelo, la standardizzazione sta convergendo su specifiche che collegano questi requisiti a meccanismi di fiducia e di firma digitale in ottica eIDAS.
Per team tecnici e legali la traduzione operativa è chiara: progettare smart contract interrompibili e auditabili, con log verificabili, ruoli e permessi granulari, piani di fallback e di ripristino, e test di arresto controllato. Vanno evitati automatismi “irrevocabili” o non governabili che renderebbero impossibile fermare un flusso illecito o adeguarsi a un ordine dell’autorità.
Accesso della PA in caso di “eccezionale necessità” (B2G)
Il Data Act consente alle amministrazioni pubbliche di chiedere dati detenuti da privati solo in presenza di eccezionale necessità (crisi, emergenze, specifiche missioni di interesse pubblico). La richiesta deve essere motivata, proporzionata e limitata a ciò che è strettamente necessario: finalità, categorie di dati, periodo di riferimento, durata del trattamento e modalità di cancellazione vanno indicati con precisione. Restano ferme le tutele rafforzate per segreti commerciali e diritti IP e il divieto di riuso per scopi diversi da quelli esplicitati.
La Commissione ha pubblicato FAQ e materiali esplicativi utili a standardizzare modelli di richiesta e garanzie procedurali; conviene allinearsi a quel linguaggio per evitare contenziosi e scambi iterativi.
Per le imprese, la traduzione operativa è una policy B2G interna, con un flusso chiaro: presa in carico della richiesta, verifica dei presupposti (eccezionale necessità e proporzionalità), coinvolgimento di DPO e legale, definizione di ruoli e tempi, minimizzazione dei dataset (mascheramenti dove possibile), canali sicuri di consegna (cifratura end-to-end, audit trail), accordi di riservatezza e una checklist di chiusura (log delle operazioni, conferma di ricezione, regole di retention e cancellazione). In questo modo si risponde in modo collaborativo, ma con controllo su ciò che esce e su come viene protetto.
Standard e interoperabilità
I diritti del Data Act (accesso, portabilità, switching) funzionano solo se esistono specifiche tecniche condivise. Il 7 luglio 2025 CEN e CENELEC hanno accettato la Standardization Request della Commissione sul European Trusted Data Framework, avviando lavori su formati, interfacce e requisiti di fiducia a supporto dell’attuazione; in parallelo ETSI sta sviluppando attività su interoperabilità, data governance e smart contracts. Tra 2025 e 2027 arriveranno standard orizzontali (formati, semantiche, API) e verticali per i settori più esposti (manifattura, energia, trasporti).
Per le imprese questo significa passare dalla teoria all’integrazione: agganciare le roadmap OT/IT (API, schemi dati, cataloghi) ai lavori degli organismi di normazione, partecipare a consultazioni e piloti e scegliere tecnologie con formati esportabili e documentati. È un investimento che riduce il costo della compliance e, soprattutto, evita che la portabilità resti sulla carta perché bloccata da differenze di formato o da interfacce proprietarie.
Enforcement e sanzioni
Gli Stati membri devono designare una o più autorità competenti per il Data Act e, se sono più di una, nominare un coordinatore dei dati come sportello unico nazionale. Quando l’adempimento riguarda anche dati personali, i profili GDPR restano di competenza delle Autorità di protezione dati: i due regimi possono quindi operare in parallelo, richiedendo cooperazione tra autorità. Sul fronte dei poteri, le autorità Data Act possono chiedere informazioni e documenti, svolgere verifiche, imporre misure correttive e applicare sanzioni amministrative: l’entità è definita a livello nazionale, ma deve essere efficace, proporzionata e dissuasiva. Per le imprese, oltre all’esposizione pecuniaria, vanno considerati gli ordini di adeguamento (es. revisione dei contratti o dei processi di portabilità) e i riflessi reputazionali. Un punto da non trascurare è l’effetto civilistico: le clausole abusive imposte unilateralmente non sono vincolanti per la controparte e possono essere rimosse o sostituite, con possibile nullità/inefficacia delle pattuizioni a rischio e conseguenti interventi sugli accordi in essere.
Box 1 – Focus Italia
Il Data Act è in vigore e applicabile: sono già operativi i diritti di accesso ai dati generati dall’uso di prodotti/servizi connessi, le regole sul cloud switching e la disciplina delle clausole abusive per i nuovi contratti B2B.
Il vulnus sta a valle: in Italia la designazione formale delle autorità competenti e del coordinatore dei dati e il decreto sanzioni dedicate non risultano ancora completati. Questo ritardo non sospende gli obblighi europei, ma rende meno chiara la catena di enforcement amministrativo.
Quali sono le conseguenze concrete dell’assenza di Authority/coordinatore e del decreto sanzioni?
- – Nessun canale amministrativo dedicato: non c’è ancora uno sportello unico nazionale che riceva segnalazioni e istanze, né una procedura amministrativa tipizzata per gestirle. Le controversie vanno quindi in sede civile e, se ci sono dati personali, anche davanti alla DPA per i profili GDPR.
- – Poteri ispettivi e correttivi non operativi per il Data Act: finché non c’è l’Authority mancano ispezioni e ordini “ad hoc” e mancano sanzioni amministrative specifiche.
- – Maggiore incertezza procedurale: senza coordinatore dei dati, cooperazione e riparto con altre Autorità Garanti non sono codificati; i tempi di risposta possono essere più lunghi e l’indirizzamento dei casi più incerto.
- – Asimmetrie di enforcement: fino a designazione e decreto, l’osservanza dipende soprattutto da giudici civili, procurement e prassi di mercato. È un enforcement meno uniforme e più “contrattuale”.
- – Rischio costo/tempo: l’assenza di un binario amministrativo può tradursi in contenziosi più lenti e in costi extra per ottenere o difendere la conformità.
Cosa resta, comunque, in piedi oggi:
- – Civile: le clausole abusive imposte unilateralmente non vincolano la controparte; possono essere disapplicate e sostituite in giudizio, con ordini di adeguamento.
- – Privacy: se ci sono dati personali, la DPA può già intervenire con il pieno arsenale GDPR (prescrizioni e sanzioni).
- – Procurement: PA e grandi imprese possono pretendere compliance Data Act e sanzionare contrattualmente il fornitore (esclusioni, penali, risoluzioni) anche in assenza del decreto sanzioni nazionale.