Dal 12 settembre diventa applicabile il Data Act dell’UE: qualsiasi utilizzo dei dati da parte del titolare o dei destinatari richiede un contratto. Come data holder o data user, quasi tutte le imprese sono interessate e i compiti del CIO spaziano dalla compliance all’operatività. Ma è soprattutto nell’opportunità di spingere sulla trasformazione data-driven che l’IT si conferma strategico.
Il Data Act diventa applicabile: in base alla legge dell’Unione Europea, dal 12 settembre 2025 le imprese che detengono i dati generati da prodotti e piattaforme connesse devono garantirne l’accesso e la portabilità. Ciò implica rivedere i contratti tra detentori e utenti dei dati, nonché i processi operativi per garantirne la conformità. L’obbligo, però, si accompagna a un’opportunità: il Data Act offre la possibilità di monetizzare le informazioni digitali. Inoltre, tutela le imprese nei confronti dei fornitori del cloud, che, per il loro stesso business, sono dei giganteschi detentori di dati.
“La sfida imposta dalla nuova normativa può essere trasformata in un’opportunità strategica”, affermano Ida Palombella, Equity Partner, Head of IP, Tech, Data di Deloitte Legal Italy, e Pietro Boccaccini, Director di Deloitte Legal Italy. “Implementare sistemi e processi per la compliance al Data Act, infatti, può accelerare la trasformazione aziendale verso un modello data-driven, con benefici quali maggiore trasparenza e fiducia verso clienti e partner; possibilità di sviluppare nuovi servizi e modelli di business basati sull’analisi e la condivisione dei dati; rafforzamento della cultura aziendale data-driven”.
Il grande elemento di attenzione per le imprese è proteggere il proprio business identificando quali informazioni escludere dall’accesso in quanto rappresentano “segreto commerciale”: l’apertura dei dati non deve mettere a rischio la proprietà intellettuale. Naturalmente, l’applicazione del Data Act non deve far dimenticare le disposizioni del GDPR, ovvero la protezione dei dati personali.
“In questo contesto è indispensabile uno stretto coordinamento tra funzioni IT, legali e di business per definire i ruoli, le responsabilità e i processi di gestione dei dati”, sottolineano gli esperti di Deloitte Legal. “Le policy in materia di privacy e sicurezza possono richiedere un aggiornamento significativo”.
Chi è interessato dal Data Act e quali dati sono coperti
Il Data Act introduce norme precise per l’accesso ai dati generati dai prodotti connessi (Internet of Things o IoT). Questi non possono essere più ad uso esclusivo delle aziende, ma devono diventare disponibili in modo equo, trasparente e gratuito per utenti finali e terze parti.
Non si tratta solo, genericamente, di Internet of Things: “Il perimetro di applicabilità del regolamento europeo è molto ampio e può coinvolgere anche business che non sono tech per vocazione, quali i trasporti, le costruzioni o l’agricoltura di precisione”, chiariscono Palombella e Boccaccini.
Il titolare dei dati dovrà garantire l’accesso agli utenti, ma avrà anche la responsabilità di vincolare contrattualmente tutta la propria supply chain per assicurare una piena conformità alla nuova normativa. A loro volta, gli utenti finali acquisiscono il diritto di richiedere l’accesso immediato a tutte le informazioni prodotte dall’utilizzo del prodotto connesso.
A livello di dati, la legge europea copre tutti quelli generati tramite l’utilizzo di un “prodotto connesso” o di un “servizio correlato”. L’ambito di applicazione comprende i cosiddetti “dati primari”, ovvero i dati grezzi effettivamente generati tramite l’utilizzo di un prodotto o servizio, inclusi i dati derivanti dalle interazioni con gli assistenti virtuali e i metadati.
Ricadono, dunque, nel Data Act (per fare alcuni esempi): i dati di un veicolo connesso, i dati dei dispositivi indossabili, i dati dei dispositivi per gli edifici smart, i dati generati tramite input di testo o vocale in assistenti virtuali e i dati provenienti da macchinari industriali connessi (ad esempio, consumo di elettricità, livelli di usura, metriche di produttività).
Al contrario, sono fuori dall’ambito di applicazione i dati secondari o “raffinati”, ovvero non generati dal mero utilizzo del prodotto o servizio connesso, ma che richiedono un’ulteriore analisi, elaborazione (in particolare tramite algoritmi proprietari) o trasformazione dei dati primari (ad esempio, dati statistici, dati aggregati, previsioni, report).
La centralità del contratto
La regolamentazione dei rapporti tra data holder, data user e altre parti tramite contratto è la novità centrale della legge. Entro il 12 settembre 2025, tutti i fornitori di servizi di trattamento dati dovranno apportare modifiche alle loro condizioni contrattuali e ai loro processi operativi.
Nel caso più semplice, le condizioni del flusso di dati sono regolate da due parti: l’utente e il titolare dei dati. Più frequentemente, a queste due parti si aggiunge una terza parte, il destinatario dei dati. Ma possono intervenire molti più soggetti, come nel caso di aggregatori di dati, inclusi quelli ai sensi del Data Governance Act, con una moltiplicazione dei requisiti tecnici e legali che si traducono nei contratti.
“Il Data Act non si limita a imporre obblighi di accesso e condivisione dei dati, ma pone attenzione anche alla necessità di definire con chiarezza le responsabilità degli attori coinvolti. Tale impostazione rende quindi il contratto lo strumento chiave per gestire la complessità e i rischi di una nuova economia dei dati in cui le responsabilità dei vari attori e l’utilizzo dei dati devono essere espliciti”, spiega Giangiacomo Olivi, Partner, Europe Co-Head of Intellectual Property, Data and Technology di Dentons.
Per esempio, in tema di responsabilità, il Regolamento impone che i contratti di fornitura tra utente e fornitore identifichino le modalità di accesso e cancellazione dei dati, individuando i relativi mezzi tecnici.
“Quest’ultima previsione risulta particolarmente rilevante nella disciplina del diritto di accesso del Data Act, in quanto orienta la scelta dei titolari dei dati rispetto alla modalità con cui concedere l’accesso ai dati – in particolare, in modo diretto o indiretto – e i relativi obblighi di trasparenza nei confronti degli utenti”, evidenzia Olivi.
La portabilità del cloud
Il Data Act introduce cambiamenti significativi anche per l’utilizzo dei servizi cloud, con l’obiettivo di superare la rigidità e le condizioni svantaggiose imposte dai grandi fornitori. Una delle novità principali riguarda la facilitazione della migrazione dei dati e il superamento del cosiddetto “vendor lock-in”. Prima del Data Act, la possibilità per le aziende di cambiare fornitore di servizi IT costituiva un’operazione complessa e ostacolata da costi elevati associati, tra gli altri, alla lunghezza delle procedure e alla mancanza di interoperabilità tra i fornitori.
Con l’entrata in vigore del Regolamento, invece, i clienti potranno passare a un nuovo servizio cloud mantenendo funzionalità minime del precedente fornitore nel periodo di migrazione, inclusa la garanzia di assistenza e di sicurezza dei dati durante il trasferimento. A partire dal 2027, le tariffe di passaggio eventualmente previste dovranno essere abolite.
Anche i servizi edge sono qualificabili come servizi di trattamento dati, tiene a precisare Diego Fulco, Direttore Scientifico Istituto Italiano per la privacy e la valorizzazione dei dati. “I servizi edge consistono nel fornire una rete formata da un gruppo di dispositivi di connettività, in grado di elaborare e memorizzare dati critici localmente, e di trasmettere tutti i dati ricevuti e/o elaborati a un data center centrale o a un repository di cloud storage”, chiarisce l’esperto. “Tuttavia, nel quadro dei servizi di trattamento dati, per la capillarità della loro diffusione e per la varietà della loro clientela, sono assolutamente centrali i servizi di cloud computing”.
Qui si inseriscono le previsioni sul passaggio dati da un fornitore all’altro (“portabilità”) e sull’interoperabilità e, in tal senso, il Data Act è un punto di svolta per le aziende, secondo Olivi di Dentons.
“Un’ulteriore novità del Data Act riguarda la previsione di tutele contro le condizioni contrattuali abusive, da cui trarranno particolare beneficio le piccole e le medie imprese con limitato potere di mercato e posizioni negoziali più deboli”, evidenzia ancora Olivi. “Il Data Act vieta, infatti, di includere nei contratti di condivisione dei dati fra imprese clausole imposte unilateralmente da una delle parti che si discostino considerevolmente dalle buone prassi commerciali in materia di accesso, in contrasto con il principio di buona fede e correttezza; se incluse, sono scindibili dal contratto e in ogni caso non vincolanti”.
La questione della proprietà intellettuale
Ovviamente, le disposizioni del GDPR e di altre normative sulla protezione dei dati continuano ad applicarsi parallelamente al Data Act. Di conseguenza, laddove siano coinvolti dati personali, tutti gli obblighi previsti dal Data Act devono essere attuati nel pieno rispetto della normativa europea sulla protezione dei dati.
La sfida consiste nel soddisfare le richieste di accesso ai dati ai sensi del Data Act, rispettando al contempo i requisiti di privacy, nonché di tutela dei segreti commerciali. In via generale, dal 12 settembre 2025, il titolare che è anche il detentore del segreto commerciale deve attuare misure per proteggere tali informazioni riservate e strategiche. Ma qui si apre un punto controverso.
“La messa in circolazione dei dati potrebbe rappresentare un rischio per la concorrenza tra le imprese, in particolar modo quando oggetto di condivisione siano i segreti commerciali”, nota Olivi. “Il Data Act ha ovviato a tale problematica, da una parte, facendo salva la tutela conferita dalla Direttiva (UE) 2016/943 in tema di know-how e segreti commerciali e, dall’altra, introducendo specifiche disposizioni volte alla tutela di tali informazioni, imponendo che il titolare dei dati e l’utente/terzo concordino misure per preservare la riservatezza dei segreti commerciali”.
Nel caso in cui tali misure non siano rispettate, il titolare dei dati può rifiutare o sospendere la condivisione e, in via eccezionale, rifiutarsi di condividere i dati quando sia in grado di dimostrare l’alta probabilità di subire gravi danni economici. Ma qui si pone un problema: il Data Act adotta, infatti, un approccio “ex ante”, spostando sul titolare dei dati/azienda l’onere di provare che i propri segreti commerciali siano meritevoli di protezione e che la loro divulgazione causerebbe perdite economiche gravi e irreparabili.
“Il Data Act non fornisce una definizione univoca di grave danno economico; inoltre, controversie potrebbero sorgere sulla difficoltà di dimostrare il danno economico ex ante: provare la probabilità di un danno futuro è intrinsecamente complicato, in quanto dovrà basarsi su analisi di mercato, valutazioni di esperti e proiezioni economiche facilmente contestabili”, spiega Olivi.
Di conseguenza le aziende dovranno disporre di chiari programmi di conformità in grado di classificare le informazioni, chiarire le loro regole d’uso e identificare gli scenari di grave danno economico derivanti da una richiesta di accesso o condivisione, compiti che coinvolgono anche il CIO.
“È arrivato il momento per le aziende di investire in compliance e governance dei dati iniziando con una valutazione di quali siano le tipologie di informazioni in proprio possesso, soppesandone le conseguenze”, afferma Alessandra Delli Ponti, Avvocato e DPO e fondatrice dello Studio Legale Delli Ponti. “Occorre classificare accuratamente i dati (distinguendo tra dati liberamente condivisibili e dati protetti); adottare misure contrattuali efficaci (ad esempio NDA, clausole specifiche nei contratti di accesso); e implementare misure tecniche idonee (come pseudonimizzazione e watermarking). Il Data Act apre nuove opportunità per l’economia dei dati, ma impone anche nuove responsabilità. Per le imprese, la vera sfida sarà coniugare apertura e trasparenza con la protezione del know-how”.
I compiti operativi del CIO
Il CIO, ovviamente, dovrà essere consapevole degli impatti sui contratti, pur non occupandosene in prima persona. Ma il suo intervento è diretto sul piano operativo: i sistemi IT devono essere modificati per rendere i dati generati dai prodotti connessi e servizi correlati facilmente accessibili all’utente, in formato strutturato, di uso comune e sicuro.
Le imprese che non hanno dati da mettere in condivisione nella veste di data holder dovranno ricordare che possono trarre vantaggio dal ruolo di data user, chiedendo accesso ai dati che possono essere utili per i loro modelli di business.
Palombella e Boccaccini di Deloitte Legal evidenziano che il primo passo per avviare un percorso di compliance presuppone un’analisi dell’impatto della nuova normativa sui prodotti connessi dell’azienda (auto o altri veicoli, macchinari industriali, dispositivi medici, eccetera) e sui servizi a questi correlati (come app di controllo dei dispositivi, manutenzione o telemedicina).
“L’ulteriore analisi da svolgere preliminarmente concerne i dati che possono assumere rilevanza nell’ambito dell’uso dei prodotti e dei servizi, di diversa natura: dati personali, tecnici, informazioni commerciali riservate”, proseguono Palombella e Boccaccini. “Occorre individuarli e categorizzarli per comprendere come bilanciare i diritti in capo agli utenti di accessibilità e condivisione con gli interessi della società alla protezione del proprio patrimonio informativo. Svolte queste verifiche fondamentali, si tratta di lavorare in parallelo sia sugli aspetti tecnici che su quelli legali, definendo i presidi opportuni, anche tramite l’introduzione nei contratti di clausole adeguate”.
I due esperti di Deloitte Legal sottolineano che, per conformarsi al Data Act, le imprese devono coinvolgere figure con responsabilità ed expertise diverse, vista la trasversalità degli impatti della nuova normativa: design di prodotti e servizi, protezione dei segreti aziendali, monetizzazione dei dati, sicurezza delle informazioni, posizionamento strategico della società a livello concorrenziale, e così via. Oltre al top management, in questo contesto rivestono un ruolo chiave sia il team Legal che quello IT.
“La conformità al Data Act impone al CIO – o ad altra professionalità che abbia all’interno dell’organizzazione visibilità anche sulle innovazioni digitali – un ruolo centrale e ampliato nella gestione strategica e operativa dei dati”, indicano Palombella e Boccaccini.
In particolare, il CIO ha questi cinque compiti fondamentali:
guidare l’adeguamento tecnologico, supervisionando l’implementazione di infrastrutture e piattaforme IT in grado di garantire l’accesso, la portabilità e la sicurezza dei dati generati dai prodotti connessi; coordinare la governance dei dati (personali e di altro tipo), in stretta collaborazione con le funzioni legali, di compliance/privacy e di business, per definire policy, processi e responsabilità chiare in materia; monitorare (insieme al team Legal) l’evoluzione normativa, gli orientamenti delle autorità competenti e le best practice del settore, garantendo che i prodotti e i servizi della società siano conformi ai più alti standard di mercato, riducendo rischi legali e reputazionali; promuovere una cultura data-driven, favorendo l’adozione di pratiche e strumenti che valorizzino i dati come asset strategico, supportando l’innovazione e la trasformazione digitale; gestire i rapporti con fornitori e partner, verificando che anche le tecnologie esterne che entrano in gioco nell’ambito dei prodotti connessi e servizi correlati rispettino i requisiti del Data Act, integrando la compliance lungo tutta la catena del valore, sempre in coordinamento con i legali, mediante l’introduzione nei contratti delle clausole più opportune.
Gli obblighi sono, dunque, gravosi e, a detta di alcuni CIO, “servirebbe avere qualcuno che stia dietro solo alla burocrazia e alle procedure richieste per essere compliant: una spesa insostenibile soprattutto per le piccole e medie imprese”. Ma, come si legge nell’instant paper “Data Act: opportunità e obblighi per le aziende” sviluppato da Cefriel e Osborne Clarke, il Data Act non è solo compliance, bensì un’occasione per ripensare la strategia aziendale.
Infatti, i dati generati dall’uso dei prodotti connessi permettono alle imprese di creare nuovi servizi digitali a valore aggiunto, come manutenzione predittiva, assistenza personalizzata e servitizzazione, ovvero si potrà passare dalla vendita di prodotti a quella di servizi complementari con più valore. Per molte aziende manifatturiere, questo significa spostare il focus dal prodotto fisico all’esperienza d’uso, offrendo servizi in grado di fidelizzare i clienti e aprire nuove fonti di ricavo. Non solo: la disponibilità trasparente e strutturata dei dati rende possibile lo sviluppo di nuovi algoritmi, modelli predittivi, strumenti digitali e di benchmarking, contribuendo a un miglioramento continuo dei prodotti e a una maggiore efficienza operativa.
Perciò gli autori del paper Nadia Scandelli e Stefano Iaconelli (Cefriel), e Gianluigi Marino e Antonio Racano (Osborne Clarke) sottolineano che il Data Act può essere vissuto come un’opportunità per attuare una governance dei dati più evoluta, orientata alla sicurezza, alla trasparenza e all’innovazione. In breve, si tratta di integrare nelle prassi aziendali la cultura data-driven, che mette al centro la valorizzazione strategica delle informazioni.
Gli impatti: il CIO è sempre più strategico
Anche per Palombella e Boccaccini di Deloitte Legal la compliance rappresenta un catalizzatore per innovare e creare valore attraverso i dati, nonostante i tanti investimenti e cambiamenti organizzativi. Sia le multinazionali che le PMI possono trasformare l’obbligo in un vantaggio competitivo – purché ci siano una governance dei dati strutturata e processi digitali maturi.
“Data Act-ready può diventare un claim decisamente attrattivo sia per i clienti B2B che per gli utenti, mettendo in evidenza i benefici anche a livello di user experience”, dichiarano i due esperti.
In più, secondo Olivi di Dentons, anche il Data Act, come a suo tempo il GDPR, potrebbe generare un “Brussels Effect”, cioè definirsi come uno standard anche al di fuori dei confini dell’UE.
“Agendo su sistemi che sono per loro natura sovranazionali, quali il cloud, anche i soggetti che non ricadono nell’ambito di applicazione del Regolamento potrebbero realizzare un adattamento al Data Act per ragioni di efficienza e costi nella gestione dei servizi”, spiega Olivi. “Tuttavia, nel complesso e articolato contesto geopolitico attuale, sarà necessario valutare attentamente la reazione di altri blocchi economici e politici e i relativi approcci nei diversi settori strategici, in primis le tendenze di allontanamento regolamentare, che potrebbero minacciare il ruolo dell’Unione nella regolamentazione delle nuove tecnologie e del digitale”.
Resta fermo il ruolo del CIO: il Data Act richiede al Chief Information Officer di assumere un ruolo più strategico e trasversale che mai, non solo come responsabile tecnico, ma come facilitatore della trasformazione digitale e di un’efficace gestione dei dati all’interno dell’organizzazione.
