Il Data Act (Regolamento (UE) 2023/2854) rappresenta uno dei pilastri della strategia europea per la creazione di un’economia dei dati più aperta, competitiva e innovativa. Il regolamento disciplina l’accesso, l’utilizzo e la condivisione dei dati generati dai prodotti connessi e dai servizi correlati, individuando diritti e obblighi per produttori, utilizzatori, fornitori di servizi cloud e altri operatori economici. Il Data Act è entrato in vigore l’11 gennaio 2024 ed è applicabile dal 12 settembre 2025. Da questa data le imprese europee sono chiamate non solo a verificare i propri sistemi informativi, ma anche a riesaminare i contratti che disciplinano la disponibilità, l’accesso e l’utilizzo dei dati. La guida ufficiale della Commissione europea è disponibile nella pagina “Data Act explained“.
Perché questo articolo interessa concretamente le imprese
Il Data Act non è una normativa destinata esclusivamente ai produttori di software o alle grandi piattaforme digitali. Al contrario, può incidere su numerose situazioni che riguardano la normale operatività delle imprese manifatturiere, industriali, della logistica, dell’automotive e di tutti gli operatori che utilizzano prodotti connessi o servizi cloud.
Si immagini, ad esempio, un’impresa che acquista un macchinario industriale connesso. Il produttore fornisce anche un servizio di manutenzione predittiva basato sull’analisi dei dati generati dal macchinario e archiviati sulla propria piattaforma cloud. Dopo alcuni anni, l’impresa ritiene che il servizio non sia più competitivo e vorrebbe affidare la manutenzione a un diverso operatore specializzato. Il timore, tuttavia, è quello di perdere l’accesso ai dati storici prodotti dal macchinario oppure di non poterli trasferire al nuovo fornitore. Una situazione di questo tipo può compromettere la continuità operativa e limitare la libertà di scelta dell’impresa. Il Data Act introduce regole che rafforzano il diritto dell’utilizzatore ad accedere ai dati generati dal prodotto e, in determinate condizioni, a richiederne la trasmissione a un soggetto terzo.
Un secondo esempio riguarda una società che gestisce una flotta aziendale di veicoli in leasing. L’impresa vorrebbe acquisire e rielaborare i dati prodotti dai veicoli per elaborare modelli di analisi del rischio assicurativo, migliorare la manutenzione della flotta oppure negoziare condizioni economiche più vantaggiose con assicurazioni e fornitori di servizi. Il contratto di leasing, tuttavia, non disciplina espressamente la disponibilità di tali dati oppure attribuisce ogni controllo alla società concedente. Anche in questo caso il Data Act può incidere sul rapporto contrattuale, rendendo necessario verificare se le clausole siano compatibili con il nuovo quadro normativo.
Questi esempi mostrano come il Data Act abbia effetti concreti sulla gestione del patrimonio informativo delle imprese e come, in molti casi, il primo strumento da analizzare non sia il software o il macchinario, bensì il contratto che ne disciplina l’utilizzo.
Perché il Data Act impatta direttamente sui contratti B2B
Una parte significativa degli obblighi introdotti dal Data Act trova concreta applicazione attraverso i contratti stipulati tra imprese.
Contratti di fornitura, licenze software, servizi cloud, manutenzione industriale, piattaforme IoT, outsourcing tecnologico, leasing di beni connessi e accordi di collaborazione disciplinano già oggi aspetti fondamentali quali:
- accesso ai dati;
- utilizzo dei dati;
- condivisione con soggetti terzi;
- riservatezza;
- sicurezza;
- proprietà intellettuale;
- responsabilità delle parti.
Il Data Act non sostituisce tali accordi, ma rende opportuno verificarne la compatibilità con la nuova disciplina europea. Molte clausole redatte prima dell’entrata in applicazione del regolamento potrebbero infatti non riflettere i nuovi diritti riconosciuti agli utilizzatori dei prodotti connessi o le nuove regole sui servizi di trattamento dati.
Per questo motivo la revisione dei contratti dovrebbe essere considerata una delle prime attività di compliance da pianificare.
Contratti relativi a prodotti connessi, industria e Internet of Things
Uno degli ambiti maggiormente interessati dal Data Act riguarda i prodotti connessi e i servizi correlati.
Rientrano in questa categoria, ad esempio:
- macchinari industriali;
- impianti automatizzati;
- robot collaborativi;
- sensori industriali;
- dispositivi IoT;
- sistemi di monitoraggio remoto;
- veicoli connessi;
- apparecchiature medicali intelligenti.
Tutti questi prodotti generano continuamente dati durante il loro funzionamento. Il Data Act riconosce che tali dati rappresentano un valore economico significativo anche per l’utilizzatore e introduce regole che ne favoriscono l’accesso e l’utilizzo.
Di conseguenza, i contratti che disciplinano la vendita, il leasing, la manutenzione o l’assistenza di tali prodotti dovrebbero essere riesaminati con particolare attenzione.
Le clausole che meritano una revisione
Individuazione dei dati
Il contratto dovrebbe identificare con chiarezza quali dati vengono generati dal prodotto e quali rientrano nell’ambito dell’accordo.
Accesso ai dati
È opportuno disciplinare:
- chi può accedere ai dati;
- attraverso quali modalità;
- entro quali tempi;
- mediante quali strumenti tecnici.
Utilizzo dei dati
Le finalità di utilizzo dei dati e gli eventuali limiti dovrebbero essere chiaramente definiti.
Condivisione con soggetti terzi
Il Data Act prevede, in determinate circostanze, che l’utilizzatore possa richiedere la trasmissione dei dati a un soggetto terzo.
Per questo motivo il contratto dovrebbe disciplinare:
- procedure operative;
- responsabilità;
- sicurezza;
- riservatezza;
- tempi di trasferimento.
Tutela dei segreti commerciali
L’accesso ai dati deve convivere con la tutela del know-how aziendale e dei segreti commerciali.
È quindi opportuno verificare che il contratto contenga adeguate misure di protezione delle informazioni riservate.
Il Data Act e i contratti per servizi cloud
Il Data Act dedica una parte importante della propria disciplina ai servizi di trattamento dati, compresi i servizi cloud.
L’obiettivo perseguito dal legislatore europeo è favorire un mercato più competitivo, riducendo i fenomeni di vendor lock-in, ossia quelle situazioni nelle quali il cliente incontra ostacoli tecnici, economici o contrattuali nel trasferire dati e applicazioni verso un diverso fornitore.
Per molte imprese il contratto cloud rappresenta infatti il principale documento che disciplina la gestione del patrimonio informativo aziendale.
Non si tratta soltanto di un contratto di fornitura di servizi informatici. Attraverso tale documento vengono disciplinati l’accesso ai dati, la loro conservazione, la portabilità, le modalità di migrazione, gli obblighi di cooperazione tra cliente e provider, i livelli di servizio, le responsabilità delle parti e, più in generale, il controllo su una componente essenziale del patrimonio aziendale.
In un contesto nel quale i dati costituiscono un asset strategico, il contratto cloud assume quindi una funzione centrale nella governance dei dati aziendali.
Per questa ragione, la verifica e la valutazione del contratto con il fornitore cloud alla luce del Data Act dovrebbero diventare un obiettivo programmatico e strategico delle imprese che operano nell’Unione europea. La revisione delle clausole contrattuali non dovrebbe essere affrontata soltanto quando emerge una controversia o quando si intende cambiare provider, ma dovrebbe entrare stabilmente nella pianificazione della compliance aziendale. Un contratto cloud coerente con il nuovo quadro normativo contribuisce infatti a preservare il controllo sui dati, a ridurre il rischio di dipendenza tecnologica dal fornitore e a proteggere uno degli asset più rilevanti dell’impresa: il proprio patrimonio informativo.
Le clausole da verificare
Portabilità dei dati
Il contratto dovrebbe disciplinare in modo chiaro le modalità con cui il cliente può ottenere la restituzione dei dati in un formato utilizzabile.
Procedure di switching
È opportuno verificare se siano previste procedure che consentano il trasferimento verso un diverso provider senza compromettere la continuità operativa.
Assistenza durante la migrazione
Le attività di supporto tecnico dovrebbero essere disciplinate in maniera trasparente.
Tempi del trasferimento
Il contratto può stabilire tempi certi per completare la migrazione dei dati e delle applicazioni.
Costi di uscita
Anche le clausole relative agli eventuali costi applicati durante il passaggio a un nuovo fornitore meritano una verifica alla luce della disciplina introdotta dal Data Act.
Clausole contrattuali B2B da rivedere
Oltre ai profili relativi ai prodotti connessi e ai servizi cloud, il Data Act contiene una disciplina specifica dedicata alle clausole contrattuali nei rapporti tra imprese.
In particolare, il regolamento interviene sulle condizioni unilateralmente predisposte (“take it or leave it”) che possono determinare uno squilibrio significativo tra le parti in materia di accesso e utilizzo dei dati.
Una revisione contrattuale può quindi riguardare:
- clausole che attribuiscono esclusivamente a una parte il controllo dei dati;
- limitazioni eccessive all’accesso dell’utilizzatore;
- clausole che impediscono la condivisione dei dati con soggetti terzi quando consentita dalla normativa;
- disposizioni che attribuiscono unilateralmente il diritto di modificare le condizioni relative ai dati;
- clausole che alterano in modo significativo l’equilibrio contrattuale.
Checklist per un audit dei contratti Data Act
Una verifica preliminare dei contratti può partire da alcune domande pratiche.
- Il contratto identifica chiaramente quali dati sono disciplinati?
- L’utilizzatore dispone di adeguati diritti di accesso ai dati generati dal prodotto?
- Sono regolate le modalità di condivisione dei dati con soggetti terzi?
- Le clausole proteggono adeguatamente i segreti commerciali?
- Le responsabilità delle parti sono chiaramente definite?
- Il contratto cloud disciplina la portabilità dei dati?
- Sono previste procedure di switching verso un altro provider?
- Sono presenti clausole unilateralmente predisposte che potrebbero risultare incompatibili con la disciplina del Data Act?
- I contratti sono stati riesaminati alla luce dell’applicazione del regolamento dal 12 settembre 2025?
Domande frequenti
Il Data Act modifica automaticamente i contratti già esistenti?
No. Il regolamento non sostituisce automaticamente gli accordi in essere. Tuttavia, le imprese dovrebbero verificare se le clausole contrattuali siano coerenti con il nuovo quadro normativo e valutare eventuali aggiornamenti.
Il Data Act riguarda soltanto il settore tecnologico?
No. Le nuove regole possono interessare tutte le imprese che utilizzano prodotti connessi, macchinari industriali, dispositivi IoT o servizi cloud nell’ambito della propria attività.
I contratti cloud devono essere rivisti?
Sì, nella maggior parte dei casi è opportuno valutarne attentamente il contenuto. Il contratto cloud costituisce uno degli strumenti fondamentali attraverso cui l’impresa governa il proprio patrimonio informativo e disciplina aspetti essenziali quali l’accesso ai dati, la portabilità, la migrazione verso altri fornitori e la continuità operativa. Una revisione periodica delle clausole contrattuali, alla luce del Data Act, rappresenta quindi una misura di buona governance e un elemento sempre più rilevante della strategia di compliance delle imprese europee.