La Commissione Europea ha pubblicato un aggiornamento delle FAQ sul Data Act, offrendo chiarimenti operativi per aziende, enti pubblici e professionisti.
Le FAQ non introducono obblighi nuovi, ma spiegano come interpretare e applicare le principali disposizioni del regolamento, facilitando la preparazione alla piena attuazione delle norme sull’accesso e l’uso dei dati digitali.
Indice degli argomenti
Interazione con altre normative UE
Le FAQ aggiornate chiariscono il rapporto tra il Data Act e il GDPR, confermando che quest’ultimo resta pienamente applicabile a tutte le attività di trattamento dei dati personali.
Il Data Act non sostituisce le regole sulla protezione dei dati, ma si concentra sul miglioramento della condivisione dei dati e sulla distribuzione equa del loro valore all’interno dell’economia digitale europea.
In alcuni casi, come la portabilità in tempo reale dei dati generati da dispositivi IoT, il Data Act specifica e integra il GDPR, mentre in altri limita il riuso dei dati da parte di terzi. In caso di conflitto tra le due norme, prevalgono comunque le disposizioni del GDPR.
Il documento aggiorna anche i meccanismi di enforcement, sottolineando che le autorità per la protezione dei dati (DPA) mantengono la competenza nel monitorare e far rispettare gli obblighi legati ai dati personali.
Questo evita situazioni in cui un soggetto dei dati dovrebbe rivolgersi a più autorità contemporaneamente e rafforza la cooperazione tra le diverse autorità europee, tra cui l’EDPS e l’EDPB, anche all’interno del European Data Innovation Board.
Infine, le FAQ precisano come il Data Act interagisce con altri obblighi di condivisione dati stabiliti da normative UE specifiche.
Infatti, pur stabilendo regole orizzontali per accesso, uso e condivisione dei dati, il Data Act consente l’integrazione con legislazioni settoriali, ad esempio in materia di sicurezza o standardizzazione, mantenendo sempre i principi fondamentali del regolamento e evitando complessità e conflitti normativi.
Quali dati rientrano nel Data Act
Le FAQ chiariscono quali tipi di dati sono coperti dagli obblighi di accesso e uso previsti dal Data Act, con particolare riferimento ai dati generati dai prodotti connessi e dai servizi correlati. In generale, rientrano nell’ambito di applicazione i dati grezzi o pre-elaborati che un titolare dei dati può ottenere grazie al design tecnico del prodotto, definiti come “dati prontamente disponibili”.
Questi includono sia i dati legati alle prestazioni e all’uso del dispositivo, sia quelli che descrivono azioni o eventi dell’utente durante l’erogazione di un servizio collegato.
Non rientrano invece i dati altamente arricchiti, derivati o prodotti tramite algoritmi complessi, né i contenuti protetti da diritti di proprietà intellettuale, come testi, audio o video.
Le FAQ ribadiscono che gli utenti hanno diritto di accedere sia ai dati personali sia a quelli non personali, ma l’uso dei dati personali deve sempre rispettare il GDPR. Infine, viene confermato che le tutele per i segreti commerciali restano vigenti, con l’introduzione di un nuovo meccanismo, noto come “trade secrets handbrake”, per garantire protezione anche nell’ambito della condivisione obbligatoria dei dati.
Accesso e uso dei dati nell’IoT
Le FAQ aggiornate chiariscono il percorso dei dati generati da dispositivi connessi e servizi correlati. In pratica, i dati fluiscono dal produttore o titolare dei dati verso l’utente, che può utilizzarli direttamente o richiedere al titolare di condividerli con terze parti.
Queste ultime possono sfruttare i dati per fornire servizi aggiuntivi, migliorare il funzionamento dei prodotti o vendere dati non personali, sempre nel rispetto delle regole del Data Act.
Lo schema evidenzia come ogni soggetto coinvolto abbia responsabilità precise: dal titolare dei dati, che deve garantire accesso e corretto trattamento, agli utenti, che decidono con chi condividere le informazioni, fino ai fornitori di servizi aftermarket.
L’obiettivo è favorire una condivisione equa e sicura dei dati, massimizzandone l’utilità senza compromettere la protezione dei dati personali.
Switching tra servizi cloud
L’aggiornamento delle FAQ del Data Act di gennaio 2026 chiarisce in maniera definitiva le regole relative allo switching tra servizi di elaborazione dati come IaaS, PaaS e SaaS.
I fornitori devono garantire che i clienti possano trasferire i propri dati e digital assets, inclusi metadata di configurazione, gestione di accessi e sicurezza, applicazioni e tecnologie di virtualizzazione, in un formato strutturato, comune e leggibile da macchina.
Dal 12 gennaio 2027, i fornitori non potranno più addebitare alcun costo per lo switching o per l’export dei dati, salvo nei casi di utilizzo parallelo in scenari multi-cloud, in cui restano ammissibili i costi sostenuti per il data egress.
Anche i clienti che hanno usufruito di free-tier offerings conservano il diritto allo switching. Il periodo di transizione massimo per completare l’operazione è di trenta giorni, prorogabile solo se il provider dimostra l’impossibilità tecnica di rispettare tale termine, con un limite assoluto di sette mesi.
L’aggiornamento chiarisce inoltre il ruolo dei provider sorgente, essi non sono obbligati a ricostruire servizi nella piattaforma del provider di destinazione, ma devono fornire tutte le informazioni, strumenti e supporto tecnico necessari per consentire la piena funzionalità dei dati nel nuovo ambiente.
Infine, il Data Act conferma l’obbligo dei fornitori di rendere le interfacce compatibili con gli standard armonizzati e le specifiche aperte presenti nel repository UE, garantendo interoperabilità e continuità funzionale per i clienti che effettuano il passaggio tra servizi.
L’obbligo di garantire lo switching tra servizi cloud tutela la continuità operativa e la sicurezza dei dati, evitando che enti pubblici o aziende restino bloccati su un singolo provider cloud, riducendo i rischi di lock-in tecnologico, migliorando la resilienza operativa e assicurando che i dati possano essere gestiti in sicurezza anche in caso di cambiamenti di fornitore o evoluzioni tecnologiche.
Interoperabilità tra servizi cloud
Le FAQ aggiornate del Data Act di gennaio 2026 confermano l’importanza di garantire l’interoperabilità tra i servizi cloud. La Commissione privilegia standard armonizzati sviluppati dagli organismi europei, mentre le common specifications vengono usate solo in casi eccezionali, quando il processo di standardizzazione è bloccato o ritardato.
Il Data Act prevede un repository UE centralizzato, dove vengono pubblicati standard e specifiche comuni, con l’obbligo per i fornitori di garantire la compatibilità delle proprie interfacce entro dodici mesi dalla pubblicazione.
Questo strumento assicura che i clienti possano spostare dati e servizi senza interruzioni operative, riducendo i rischi di lock-in tecnologico.
Gli standard settoriali esistenti non vengono sostituiti, ma integrati secondo le esigenze specifiche dei diversi settori, senza pregiudicare altre normative UE o lo sviluppo degli spazi europei dei dati. Infine, i requisiti sugli smart contracts regolano solo i programmi che li eseguono, senza incidere sul diritto nazionale dei contratti.
Prossimi passi e linee guida
Le FAQ aggiornate del Data Act chiariscono anche quali saranno i prossimi sviluppi pratici per aziende e pubbliche amministrazioni.
Le linee guida sul calcolo della compensazione ragionevole per la condivisione dei dati sono attese tra il secondo e il terzo trimestre 2026, dopo la consultazione dell’European Data Innovation Board.
Sul fronte dell’interoperabilità, la Commissione ha lanciato il European Trusted Data Framework (ETDF), che raccoglie una serie di standard europei per garantire che i dati possano circolare e essere utilizzati senza problemi tra diverse piattaforme e servizi cloud.
Il framework si basa sui contributi di organismi di standardizzazione come CEN, Cenelec ed ETSI, oltre a input di consumatori, sindacati, PMI e dell’European Data Innovation Board, e dovrebbe essere adottato entro la fine del secondo trimestre 2025.
Per facilitare i contratti tra fornitori e utenti, la Commissione ha anche pubblicato dei modelli di contratto (MCT) e clausole standard per contratti cloud (SCC).
Questi strumenti non vincolanti aiutano a gestire aspetti come il passaggio tra provider, sicurezza dei dati, continuità operativa e responsabilità, offrendo un quadro pratico per accordi equi e trasparenti, senza lasciare spazio a interpretazioni ambigue.
In sostanza, queste iniziative mirano a rendere più semplice e sicuro l’accesso ai dati e la collaborazione tra soggetti diversi, evitando blocchi tecnologici o contenziosi inutili.
