Il Data Act, che entrerà in vigore a gennaio 2024 e sarà applicabile dal 12 settembre 2025 (Regolamento UE 2023/2854), costituisce uno dei fondamenti della strategia europea per l’economia dei dati.
Come spesso accade con normative di tale portata, la sua implementazione pratica necessita di un affinamento interpretativo continuo.
La pubblicazione della versione 1.3 delle FAQ ufficiali dalla Commissione europea nel settembre 2025 rappresenta una tappa significativa in questo processo, adottando un approccio più operativo alla compliance.
Dalle prime letture alle interpretazioni più recenti
Le prime letture del Regolamento si sono concentrate su un’impostazione formalistica, imponendo requisiti di compliance rigorosi ma spesso difficili da attuare.
Questo ha generato incertezze diffuse nel mercato, poiché molte imprese hanno trovato complesso tradurre requisiti generali in processi operativi, con dubbi sul perimetro applicativo.
Interpretazioni più recenti evidenziano invece una maggiore coerenza con le realtà tecnologiche.
Il nuovo paradigma dell’accessibilità
Un aspetto chiave chiarito è il principio di accessibilità dei dati.
Gli obblighi, delineati nel Capo II del Data Act, si applicano ai dati “prontamente disponibili” per il titolare dei dati (data holder).
Praticamente, ciò implica che:
- Quando i dati sono effettivamente accessibili al data holder, è obbligatorio metterli a disposizione dell’utente e, su richiesta, di terzi;
- Se il prodotto connesso è progettato per non memorizzare o trasmettere dati all’esterno, tali dati non sono considerati “prontamente disponibili”, e pertanto non si applicano gli obblighi di cui al Capo II del Regolamento.
Questa chiarificazione nella FAQ 5a definisce meglio quando l’accesso deve essere garantito, specificando che non tutti i dati generati da un prodotto connesso devono essere resi disponibili in ogni caso. Tale precisazione sembra superare l’apparente contraddizione tra la definizione di “prodotto connesso” e la previsione contenuta nell’art. 3 (1) del Data Act.
Tuttavia, la Commissione Europea lascia aperta la possibilità di ampliare la definizione di “dati prontamente disponibili”, come indicato nella FAQ 13a, chiarendo che se esistono “mezzi ragionevoli” per ricollegare i dati a un utente specifico, questi rimangono “prontamente disponibili” ai sensi degli articoli 4 e 5. L’uso della formula “mezzi ragionevoli” ha generato e continua a generare interrogativi interpretativi, soprattutto per quanto riguarda l’anonimizzazione dei dati personali.
In primo luogo, emerge che, nella misura in cui un soggetto (es. produttore) ha un controllo di fatto dei dati, esso rientra nella definizione di data holder.
In secondo luogo, la formulazione “senza modifiche sostanziali del sistema o senza costi” presenta difficoltà di conciliazione con la definizione di dati prontamente disponibili, in cui il titolare può ottenerli “(…) senza sforzo sproporzionato”. La dicotomia tra “sforzo sproporzionato” e “assenza di costi” solleva interrogativi sulla possibilità che il criterio dei costi possa essere considerato autonomo.
Tecnologie di privacy enhancement: un bilanciamento complesso
Un ulteriore aspetto cruciale riguarda il ruolo delle Tecnologie di miglioramento della privacy (“Privacy-Enhancing Technologies” – “PETs”) nel contesto del Data Act.
La Commissione Europea ha affermato che l’implementazione di PETs non comporta automaticamente l’esenzione dagli obblighi previsti dal Regolamento. Si tratta in questo caso di una conferma che, nonostante il GDPR prevalga formalmente sul Data Act, gli obblighi di entrambi i Regolamenti sono applicabili congiuntamente.
Inoltre, secondo la Commissione, in situazioni in cui i dati vengono trasferiti dal dispositivo al server del titolare, gli utenti e i terzi dovrebbero avere ragionevoli possibilità di ottenere una copia dei dati generati da un prodotto connesso prima che vengano anonimizzati o crittografati. Questa precisazione è fondamentale per comprendere l’ampiezza del diritto di accesso ai sensi degli articoli 3 e 4 del Data Act, particolarmente in riferimento ai dati non personali.
Coordinamento tra Data Act e GDPR
La Commissione ha confermato un’interpretazione condivisibile, secondo cui se l’utente che richiede i dati ai sensi del Data Act è anche un interessato ai sensi del GDPR, la richiesta è paragonabile a quella di accesso ai sensi dell’art. 15 del GDPR. Analogamente, se l’utente chiede la portabilità dei dati a terzi ai sensi del Data Act, si applica l’art. 20 del GDPR.
La situazione diventa problematica quando l’utente non è un interessato ai sensi del GDPR; in tal caso, il Data Act non costituisce di per sé una base giuridica per comunicare dati personali, e il data holder deve trovare una base giuridica autonoma per garantire l’accesso.
Considerazioni conclusive
Quanto esposto evidenzia solo alcuni dei passaggi che porteranno, con ogni probabilità, a contenziosi, alla definizione dei diritti e degli obblighi derivanti dal Capo II del Data Act.
Se alcune conferme interpretative sono benvenute, altre precisazioni della Commissione rischiano di generare dubbi, in particolare riguardo all’ambito oggettivo di applicazione del Regolamento, come evidenziato dalle osservazioni sulla definizione di “dati prontamente disponibili”.
Note
[1] Si veda la sentenza della Corte di Giustizia dell’Unione Europea nella Causa C-582/14 Breyer c. Bundesrepublik Deutschland, Sentenza del 19 ottobre 2016, punti da 42 a 48.
[2] Si veda il contributo di A. Racano ed E. Macher, La definizione di “Titolare dei dati” ai sensi del Data Act: sfide interpretative, Il Quotidiano Giuridico, Settembre 2025.
