Argomenti trattati
Il Data Act, entrato in vigore nel gennaio 2024 e applicabile dal 12 settembre 2025, rappresenta una delle fondamenta della strategia dell’Unione Europea per l’economia dei dati. Questa normativa di ampia portata ha sollevato interrogativi sia tra le aziende che tra i professionisti del settore, richiedendo un continuo affinamento delle interpretazioni pratiche.
La pubblicazione della versione 1.3 delle FAQ ufficiali da parte della Commissione Europea nel settembre 2025 segna un passo importante in questo processo, introducendo un approccio alla compliance più orientato alla realtà operativa delle imprese.
Implicazioni iniziali del Data Act
Le prime analisi del Regolamento hanno seguito un modello formale, imponendo requisiti di compliance severi, ma non sempre facilmente attuabili. Ciò ha generato incertezze per molte aziende, che si sono trovate in difficoltà nel tradurre norme generali in procedure pratiche. La mancanza di chiarezza riguardo al perimetro di applicazione ha ulteriormente complicato la situazione.
Interpretazioni recenti e accessibilità dei dati
Recenti chiarimenti hanno evidenziato un approccio più allineato con la realtà tecnologica. Un elemento centrale chiarito riguarda il principio di accessibilità dei dati. Gli obblighi specificati nel Capo II del Data Act si applicano esclusivamente ai dati definiti come “prontamente disponibili” per il titolare dei dati (data holder). Questo dettaglio, incluso nella FAQ 5a, chiarisce che non tutti i dati generati da un dispositivo connesso devono essere resi disponibili in ogni situazione.
Inoltre, la Commissione Europea ha aperto la porta a un ampliamento della definizione di “dati prontamente disponibili” nella FAQ 13a, affermando che se ci sono mezzi ragionevoli per collegare i dati a un utente specifico senza modifiche sostanziali o costi, questi dati devono essere considerati come disponibili per la richiesta ai sensi degli articoli 4 e 5. Tuttavia, l’uso del termine “mezzi ragionevoli” ha sollevato dubbi, specialmente in relazione all’anonimizzazione dei dati personali.
Il ruolo delle tecnologie di miglioramento della privacy
Un ulteriore aspetto significativo riguarda l’influenza delle Privacy-Enhancing Technologies (PETs) nel contesto del Data Act. La Commissione ha specificato che l’adozione di queste tecnologie non implica automaticamente l’esenzione dagli obblighi di compliance previsti dal Regolamento.
In effetti, mentre il GDPR ha una validità formale superiore rispetto al Data Act, entrambe le normative devono essere applicate in modo coordinato. In particolare, la Commissione sottolinea che, quando i dati vengono trasferiti da un dispositivo a un server backend, gli utenti e i terzi devono avere una ragionevole opportunità di ottenere una copia dei dati prima che vengano anonimizzati o crittografati.
Diritti di accesso e limitazioni
Questo chiarimento è cruciale per definire l’ampiezza del diritto di accesso agli articoli 3 e 4 del Data Act. La questione riguarda se il diritto di accesso includa il diritto dell’utente di ricevere una copia dei dati generati attraverso l’uso del dispositivo connesso. Sebbene per i dati personali il GDPR preveda già il diritto di accesso, la situazione si complica quando l’utente non è un interessato ai sensi del GDPR. In tal caso, il Data Act non può servire come base giuridica per la comunicazione di dati personali, e il titolare dei dati deve trovare una base giuridica autonoma.
Queste problematiche evidenziano le sfide interpretative che potrebbero sorgere, portando probabilmente a situazioni di contenzioso. Sebbene alcune interpretazioni siano state accolte positivamente, altre potrebbero generare confusione, specialmente riguardo all’ambito di applicazione del Regolamento stesso.