Ogni volta che Bruxelles sforna una sigla nuova, in azienda qualcuno sbuffa: “ancora carta?”. Capita. Ma il Data Act non è un semplice timbro da aggiungere al faldone: mette ordine su chi può accedere ai dati, a quali condizioni e come si può uscire da un fornitore cloud senza restare incatenati. In un mercato dominato da prodotti connessi, piattaforme e contratti “prendere o lasciare”, è un cambio di passo concreto.

Il Regolamento è entrato in vigore l’11 gennaio 2024 ed è applicabile dal 12 settembre 2025 in tutta l’UE. L’obiettivo è creare un mercato dei dati più equo e competitivo: meno lock-in, più interoperabilità, più diritti per utenti e imprese. Tradotto: i dati non restano nel cassetto del produttore o del cloud provider, ma diventano una leva che l’utilizzatore può far valere.

Che cos’è, in due parole

È un regolamento “orizzontale” che abbraccia dati personali e non personali e tocca tre fronti chiave. Il primo: dati generati da prodotti connessi (macchine, veicoli, domotica, sensori). L’utente che usa il dispositivo ha diritto di accedere a quei dati e di condividerli con terzi da lui scelti, ad esempio un manutentore indipendente. Il secondo: rapporti B2B, dove il Data Act limita le clausole contrattuali imposte unilateralmente che strozzano l’uso dei dati. Il terzo: servizi di trattamento dati (cloud ed edge), con norme che impongono portabilità, interoperabilità e rimozione delle barriere tecniche e contrattuali allo switching.

C’è anche il tema dell’accesso della PA ai dati: non è una porta spalancata. Si parla di “necessità eccezionale”, cioè emergenze o casi specifici previsti dalla legge, con richieste mirate, temporanee e giustificate. L’idea non è “prendere tutto”, ma permettere interventi quando davvero serve.

Sicurezza, IP e segreti industriali

Prima la domanda che tutti fanno: “Allora devo regalare i miei segreti?” No. Il Data Act pretende misure adeguate per proteggere segreti commerciali e proprietà intellettuale. Se l’utente o il terzo non rispettano le misure di tutela, la condivisione può essere sospesa. La logica è semplice: diritti di accesso e riuso sì, saccheggio no.

C’è anche una clausola di prudenza geopolitica: per i dati non personali detenuti nell’Unione si richiedono cautele contro accessi o trasferimenti extra-UE incompatibili con il diritto europeo. Per chi ha supply chain del dato globali, non è un dettaglio.

Perché interessa davvero a CISO, CIO e legali

Per chi costruisce dispositivi connessi, il messaggio è chiaro: progettare “by data-sharing”. Non basta “generare” dati: bisogna consentire all’utente di accedervi e condividerli in modo sicuro e tracciabile. Servono autenticazione forte, logging, pseudonimizzazione dove opportuno, gestione puntuale dei trade secret, governance delle richieste e un canale ufficiale per evaderle senza improvvisazioni.

Per chi compra o vende cloud, si passa dagli slogan ai fatti. Lo switching diventa un diritto: i contratti devono specificare come si esce, in quanto tempo, con quale assistenza e a che condizioni economiche. Sul piano tecnico servono formati aperti per l’export, mappature semantiche, automazioni di portabilità, orchestrazione multicloud e criteri di interoperabilità misurabili. È l’antidoto strutturale al lock-in, ed è anche resilienza operativa.

Per chi scrive o rilegge contratti B2B, il Data Act disinnesca molte clausole “capestro” sulle responsabilità, sui rimedi e sull’interpretazione dei diritti d’uso. La morale è che la libertà contrattuale resta, ma l’equità torna al centro: certe condizioni non vincolano più la parte debole.

Infine, la procedura B2G: dotatevi di una policy interna per gestire richieste della PA. Verifica della base giuridica, accertamento della necessità eccezionale, minimizzazione, tracciamento e retention. No a risposte estemporanee: servono ruoli, workflow e un registro delle richieste.

Cosa cambia “da lunedì mattina”

Smettiamo di considerarlo l’ennesimo obbligo e leggiamolo come un abilitatore competitivo. I dati di prodotto diventano carburante per nuovi servizi post-vendita, manutenzione predittiva, supply chain più trasparenti. L’interoperabilità cloud sblocca strategie multicloud meno romantiche e più misurabili, riducendo il rischio operativo. La pulizia contrattuale nei rapporti B2B evita guerre di cavilli e accorcia il time-to-value dei progetti data-driven.

E sì, comporta lavoro vero: mappare i flussi dati, aggiornare informative e contratti, rafforzare i controlli, ripensare l’architettura per la portabilità. Ma è lavoro che crea valore, non solo compliance.

Conclusione: meno slogan, più ingegneria (e contratti fatti bene)

Il Data Act è l’ennesima normativa? Sì. Solo che questa, se la metti in produzione, ti fa lavorare meglio. Sposta potere verso chi usa i prodotti e paga i servizi, riduce le catene invisibili del lock-in, e costringe tutti a trattare i dati come un bene comune negoziabile con regole chiare. La differenza la fa l’esecuzione: processi solidi, sicurezza by design e contratti finalmente espliciti su accesso, condivisione e uscita. Il resto sono scuse.

L'articolo Data Act: l’ennesima normativa? Sì. Ma questa cambia davvero il gioco (anche per chi fa sicurezza) proviene da il blog della sicurezza informatica.