Data Act: obblighi per le aziende e scadenza settembre 2026

Cos’è il Data Act

Il Data Act (Regolamento UE 2023/2854) disciplina chi può accedere ai dati generati da prodotti connessi e servizi correlati, e a quali condizioni. È applicabile dal 12 settembre 2025. Non è una direttiva: è un regolamento, direttamente applicabile in tutti gli Stati membri senza recepimento.

Il punto è semplice: i dati generati dai vostri prodotti non sono solo vostri. Gli utenti hanno diritto di accedervi. E voi avete l’obbligo di renderglieli disponibili.

Chi è “data holder”: la definizione che sorprende

Qui casca la maggior parte delle aziende. Il Data Act definisce “titolare dei dati” (data holder) chiunque abbia l’obbligo o la capacità di rendere disponibili determinati dati — non solo il produttore del dispositivo, ma anche chi fornisce servizi correlati al prodotto connesso (art. 2, par. 13).

Prodotto connesso significa qualsiasi bene che ottiene, genera o raccoglie dati sulla propria prestazione, utilizzo o ambiente, e li comunica tramite un servizio di comunicazione elettronica (art. 2, par. 5). Non parliamo solo di Data Act IoT industriale. Parliamo di:

• Macchinari industriali con sensori
• Dispositivi medici connessi
• Elettrodomestici smart
• Veicoli connessi
• Sistemi di building automation
• Software embedded che monitora prestazioni di un prodotto fisico

Se vendete un prodotto che genera dati e comunica con un servizio digitale, siete probabilmente data holder ai sensi del Data Act. E se fornite il servizio cloud o la piattaforma che raccoglie quei dati — anche senza aver fabbricato il prodotto — la definizione potrebbe includere anche voi.

Il diritto di accesso ai dati degli utenti

L’art. 4 del Data Act impone che i dati generati dall’uso di un prodotto connesso siano resi facilmente accessibili all’utente, in modo diretto, gratuito e in formato strutturato, di uso comune e leggibile da dispositivo automatico.

In pratica: l’utente — che sia un consumatore o un’azienda — ha diritto di accedere ai dati che il suo prodotto genera. E se l’accesso diretto non è possibile, deve poterli richiedere al data holder, che li fornisce senza ritardo ingiustificato.

Non è un diritto generico. È un diritto azionabile. L’utente può anche chiedere che quei dati vengano trasmessi a un terzo (art. 5), aprendo scenari di portabilità dei dati industriali che fino a oggi non esistevano.

La scadenza del 12 settembre 2026

Qui c’è la deadline che molti ignorano. L’art. 3 del Data Act richiede che i Data Act prodotti connessi immessi sul mercato dopo il 12 settembre 2026 siano progettati e fabbricati in modo che i dati siano accessibili all’utente per impostazione predefinita, in modo facile, sicuro, gratuito e in formato completo.

Questo è un obbligo di design. Non basta avere una policy. Il prodotto deve essere costruito per rendere i dati disponibili by default. Se il vostro team di R&D non sta già lavorando su questo, siete in ritardo.

L’obbligo di condivisione B2B: dove le PMI si scoprono coinvolte

Il Capo III del Data Act introduce obblighi di condivisione dei dati tra imprese (B2B data sharing). Il data holder che riceve una richiesta legittima dall’utente deve trasmettere i dati al terzo indicato, a condizioni eque, ragionevoli e non discriminatorie (FRAND).

Ecco dove le PMI restano sorprese. Tre scenari concreti:

1. Siete fornitori di un’azienda più grande che vi chiede i dati generati dai vostri macchinari installati presso di loro. Dovete rispondere — il Data Act lo impone.
2. Usate macchinari connessi di terzi e volete accedere ai dati di utilizzo per ottimizzare la produzione. Avete diritto di chiederli al data holder.
3. Fornite un servizio SaaS collegato a un prodotto fisico. I dati che raccogliete tramite quel servizio sono soggetti agli obblighi di accesso e condivisione.

Il compenso che il data holder può richiedere al terzo per la messa a disposizione dei dati deve essere ragionevole. Per le PMI e le micro-imprese che ricevono i dati, il compenso non può superare i costi diretti della messa a disposizione (art. 9, par. 4). L’AGCM sarà l’autorità competente per vigilare sull’applicazione in Italia, come previsto dal D.Lgs. di recepimento in fase di adozione.

Interazione con il GDPR

Se i dati generati dal prodotto connesso includono dati personali — e nella maggior parte dei casi li includono — il Data Act si applica in parallelo al GDPR, non in sostituzione. L’art. 1, par. 5, è esplicito: in caso di conflitto, il GDPR prevale.

Questo significa:

• Il diritto di accesso ai dati del Data Act si aggiunge al diritto di portabilità dell’art. 20 GDPR, ma lo supera: copre anche dati non personali e non richiede il consenso o il contratto come base giuridica
• La condivisione di dati personali con terzi su richiesta dell’utente richiede comunque una base giuridica valida ai sensi dell’art. 6 GDPR
• Il terzo che riceve dati personali diventa titolare o responsabile del trattamento, con tutti gli obblighi che ne derivano

La sovrapposizione è gestibile ma non banale. Ogni flusso di dati va mappato per capire quali sono personali, quali non personali e quali misti.

Il Digital Omnibus e le possibili modifiche

Il Digital Omnibus Package proposto dalla Commissione UE il 19 novembre 2025 — e votato dal Parlamento il 26 marzo 2026 — include modifiche anche al Data Act. Tra le proposte in discussione: semplificazione degli obblighi per le micro-imprese, chiarimento della nozione di “dati prontamente disponibili” e allineamento delle tempistiche con altri regolamenti digitali.

Il testo è ancora in fase di co-decisione. Non è il momento di aspettare — è il momento di prepararsi sulla base delle regole vigenti, sapendo che alcune potrebbero essere semplificate.

Cosa fare adesso

Entro subito

1. Mappare i prodotti connessi della vostra azienda e identificare quali generano dati soggetti al Data Act
2. Verificare se siete data holder — anche indirettamente, tramite servizi correlati
3. Censire le richieste di accesso ai dati già ricevute o prevedibili, e definire un processo di risposta

Entro settembre 2026

1. Adeguare il design dei nuovi prodotti per garantire accesso diretto ai dati by default — l’art. 3 non lascia margini interpretativi
2. Definire le condizioni FRAND per la condivisione B2B dei dati e documentarle in clausole contrattuali
3. Integrare la compliance Data Act con quella GDPR: mappatura dati personali/non personali, basi giuridiche, DPIA dove necessario
4. Formare i team tecnici e legali sugli obblighi specifici — il Data Act non è solo un problema legale, è un problema di architettura di prodotto

Per le PMI

Non fatevi ingannare dalla narrazione che il Data Act riguarda solo i big tech. Se producete, distribuite o gestite prodotti connessi — anche di nicchia, anche B2B — gli Data Act obblighi vi riguardano. Una Data Act consulenza specializzata può aiutarvi a capire esattamente dove siete esposti e quali interventi sono prioritari.

Il costo della Data Act compliance preventiva è una frazione del costo di una contestazione da parte dell’autorità competente o di un cliente che esercita i propri diritti senza che voi siate pronti a rispondere.

Fonti: Regolamento (UE) 2023/2854 (Data Act) — EUR-Lex | Commissione Europea — Data Act policy page | Agenda Digitale — Data Act analisi | EDPB Guidelines 01/2024 sul trattamento dati personali nel contesto del Data Act