Data Act e prodotti connessi: tutela del know-how industriale tra obbligo di condivisione e presidi contrattuali

Sintesi I dati generati da un prodotto connesso non sono informazioni neutre. Aggregati e analizzati, rivelano logiche progettuali, soglie operative, comportamenti nelle condizioni critiche: il know-how industriale del produttore. Dal 12 settembre 2025, chiunque utilizzi quel prodotto può richiederne l’accesso — e il rifiuto generalizzato non è un’opzione. Il Data Act disciplina le condizioni della condivisione, non la esonera. Il punto critico non è se condividere. È costruire le condizioni prima che arrivino le prime richieste.

1. Il problema: i dati tecnici non sono solo dati tecnici

Un veicolo connesso, una macchina da cantiere, un impianto industriale dotato di sensori IoT generano, durante il normale utilizzo, flussi continui di dati. Temperatura del motore, pressione dei freni, cicli di carico, soglie di intervento. In apparenza: informazioni tecniche. Nella realtà operativa: qualcosa di diverso.

Aggregati e analizzati, quei parametri rivelano le logiche di funzionamento del sistema, i limiti di progetto, i comportamenti nelle condizioni critiche. Rivelano il risultato di anni di sviluppo ingegneristico. Rivelano, in altri termini, il know-how industriale del produttore.

Dal 12 settembre 2025, chiunque utilizzi quel prodotto può richiederne i dati. Il Regolamento (UE) 2023/2854 — il Data Act — lo impone. La richiesta può arrivare da un distributore, da un’officina indipendente, da un cliente industriale strutturato, da un fornitore concorrente. Il produttore non può opporre un rifiuto generalizzato.

Tre scenari mostrano dove il problema diventa concreto:

• un operatore riceve i dati operativi del prodotto e li utilizza per sviluppare un servizio in concorrenza con la rete del produttore;
• un cliente trasmette parametri tecnici a fornitori alternativi, riducendo il valore esclusivo della rete di assistenza;
• dati aggregati consentono di ricostruire logiche progettuali sviluppate in anni di test e collaudi.

In tutti e tre i casi, i dati erano condivisibili. Il problema era l’assenza di condizioni.

2. Il quadro normativo: gli obblighi dal 12 settembre 2025

Il Data Act è entrato in vigore l’11 gennaio 2024. Le sue disposizioni principali si applicano però in modo progressivo, secondo una scansione che il produttore non può ignorare.

Dal 12 settembre 2025: gli obblighi di condivisione dei dati (Capi II e III del Regolamento) sono pienamente efficaci. Da quel giorno, ogni richiesta di accesso da parte di un utente o di un terzo autorizzato è esigibile.

Dal 12 settembre 2026: scatta l’obbligo di progettazione di cui all’articolo 3, paragrafo 1. I prodotti connessi immessi sul mercato da quella data devono essere progettati in modo da rendere i dati accessibili per impostazione predefinita, in formato strutturato e leggibile da dispositivo automatico.^[2]

L’articolo 5, paragrafo 1, è la norma più rilevante per il produttore: su richiesta dell’utente, il titolare dei dati deve mettere i dati a disposizione anche di terzi. L’officina indipendente, il distributore, il cliente industriale strutturato, il fornitore concorrente. La richiesta può arrivare da qualunque soggetto che utilizzi il prodotto, senza che sia richiesto alcun rapporto contrattuale diretto con il produttore.

Leggi anche: Concessione di vendita, distributore o cliente abituale? Guida 2026

3. La distinzione che conta: dati grezzi, pretrattati e derivati

Il Considerando 15 del Data Act fissa un criterio solo: il grado di complessità elaborativa e il valore aggiunto introdotto dall’algoritmo. Da quel criterio discendono tre categorie. Le linee guida della Commissione per il settore automotive (Comunicazione C(2025) 6119) le articolano con esempi specifici.^[3]

Applicato questo criterio, le categorie si definiscono con precisione.

3.1 I dati soggetti all’obbligo

I dati grezzi (raw data) sono generati automaticamente dai sensori, senza elaborazione: il segnale elettrico puro, la rilevazione diretta di una grandezza fisica. I dati pretrattati derivano da operazioni tecniche di base — conversioni, aggregazioni semplici — che rendono il dato grezzo leggibile: la velocità in km/h, la temperatura in gradi, il livello della batteria in percentuale. Entrambe le categorie rientrano nell’obbligo.

Le linee guida confermano che semplici operazioni matematiche — medie, somme, conversioni — non trasformano un dato in derivato. Il dato resta pretrattato, e come tale va condiviso.

3.2 I dati esclusi dall’obbligo

I dati derivati (inferred or derived data) sono informazioni nuove prodotte dall’applicazione di algoritmi complessi o modelli predittivi ai dati di partenza. Il Considerando 15 li esclude espressamente dall’obbligo, qualificandoli come risultato di «ulteriori investimenti nell’attribuzione di valori o informazioni derivanti dai dati, in particolare mediante algoritmi proprietari complessi». Solo una reale complessità algoritmica, o un’elaborazione prognostica che genera valore aggiunto non ricostruibile dai dati di partenza, produce questa trasformazione.

Classificare correttamente i propri dati — individuando con precisione cosa è soggetto all’obbligo e cosa rimane patrimonio esclusivo — è il primo strumento di tutela disponibile per il produttore.

Le tre categorie nel Data Act — schema operativo Dati grezzi: segnali di sensore, rilevazioni primarie → soggetti all’obbligo Dati pretrattati: conversioni di base, medie semplici → soggetti all’obbligo Dati derivati: output di algoritmi proprietari, modelli predittivi, stime prognostiche → esclusi dall’obbligo Il confine non è nella forma del dato, ma nella complessità elaborativa che lo ha prodotto. Documentare questa complessità — nei metadati e nella documentazione tecnica — è parte del presidio difensivo.

4. Il rifiuto alla condivisione: ammesso, ma non libero

Il Data Act non vieta il rifiuto. Lo disciplina, lo condiziona e lo sottopone a controllo pubblico. Due sono i meccanismi previsti, distinti per presupposti e conseguenze.

4.1 Segreti commerciali e sospensione della condivisione

L’articolo 4, paragrafo 6, del Regolamento consente al produttore di condizionare la comunicazione di segreti commerciali all’adozione preventiva — da parte del destinatario — di misure tecniche e organizzative adeguate: clausole contrattuali tipo, NDA, protocolli di accesso rigorosi, standard tecnici di sicurezza.

Se l’accordo sulle misure non si raggiunge, o se il destinatario non le attua, l’articolo 4, paragrafo 7, consente di bloccare o sospendere la condivisione. La decisione deve essere motivata per iscritto, comunicata senza indebito ritardo. E qui scatta l’obbligo che molti non conoscono: il titolare dei dati deve notificare all’autorità competente designata ai sensi dell’articolo 37 di aver bloccato o sospeso la condivisione, indicando quali misure non sono state concordate o rispettate.

4.2 Il rifiuto puntuale per grave danno economico

L’articolo 4, paragrafo 8, prevede un’ulteriore ipotesi — eccezionale e residuale. Il produttore può rifiutare una specifica richiesta di accesso quando dimostri, sulla base di elementi oggettivi, che la divulgazione produrrebbe «molto probabilmente gravi danni economici», nonostante le misure di protezione adottate dal destinatario. Anche questo rifiuto richiede motivazione scritta, senza indebito ritardo, e notifica all’autorità competente.

Un diniego non motivato o non notificato espone il produttore alle sanzioni previste dall’articolo 40. Il rifiuto è uno strumento eccezionale, non una via d’uscita ordinaria.

Leggi anche: L’obbligo di esclusiva e il patto di non concorrenza nel contratto di concessione di vendita

5. I presidi contrattuali: cosa funziona e cosa no

Il Data Act consente un sistema di protezione contrattuale articolato. Il limite è uno: le condizioni imposte unilateralmente che rendano di fatto impossibile la condivisione sono abusive e non vincolanti ai sensi dell’articolo 13. Condizioni irragionevoli equivalgono a nessuna condizione.
Dentro quel limite, il perimetro dell’ammissibile è ampio.

5.1 Clausole di limitazione della finalità

L’articolo 6, paragrafo 1, stabilisce che il terzo destinatario tratta i dati ricevuti solo per le finalità concordate con l’utente. Da questa regola discende la clausola più utile per il produttore: vincolare contrattualmente il destinatario a un uso specifico e circoscritto, escludendo tutto ciò che non è espressamente autorizzato. L’articolo 6, paragrafo 2, lettera e), aggiunge un divieto diretto: il terzo non può usare i dati per sviluppare un prodotto concorrente con quello da cui provengono.

5.2 Protocolli di accesso e misure tecniche

L’articolo 11, paragrafo 1, autorizza il produttore ad applicare misure tecniche di protezione — cifratura, controllo degli accessi, smart contract. I destinatari non possono modificarle o rimuoverle senza accordo. La sequenza operativa è questa: prima si concordano le misure, poi si trasmettono i dati. Il produttore che inverte l’ordine perde il presidio.

5.3 NDA e clausole penali

Gli articoli 4 e 5 contemplano espressamente gli accordi di riservatezza tra le misure idonee a tutelare i segreti commerciali. L’NDA da solo non basta: va integrato con clausole penali specifiche per la violazione degli obblighi di riservatezza. Va inoltre esteso ai sub-destinatari — il destinatario deve raccogliere un impegno analogo da chiunque riceva i dati a valle. La catena di tutela segue la catena di condivisione.

5.4 Rimedi in caso di violazione

L’articolo 11, paragrafo 2, fissa i rimedi azionabili in caso di utilizzo non autorizzato: cancellazione dei dati e di tutte le copie; cessazione della produzione, offerta o commercializzazione di beni o servizi sviluppati sulla base di quei dati; risarcimento del danno. Sono rimedi diretti, azionabili contrattualmente, indipendenti dai procedimenti amministrativi.

6. Il principio di equità: il vincolo che non si può ignorare

Il Data Act fissa due parametri. L’articolo 8, paragrafo 1, impone condizioni eque, ragionevoli, non discriminatorie e trasparenti — il principio FRAND. L’articolo 13 sancisce la non vincolatività delle clausole abusive imposte unilateralmente. I due parametri operano insieme: il secondo è la sanzione del primo.
Da questi parametri discende una classificazione in due liste.
La lista nera contiene le clausole sempre abusive: quelle che escludono la responsabilità del produttore per atti intenzionali o negligenza grave, e quelle che gli attribuiscono il diritto esclusivo di interpretare il contratto. Sono nulle in ogni caso, indipendentemente dal contesto.
La lista grigia contiene le clausole presuntivamente abusive: quelle che limitano in modo sproporzionato i rimedi del destinatario, e quelle che gli impediscono di usare i dati che ha contribuito a generare. La presunzione ammette prova contraria — ma l’onere spetta al produttore.
La regola pratica che ne deriva è una. Le misure di protezione devono essere proporzionate al rischio concreto che si vuole presidiare. Un produttore che classifichi tutto il proprio output come segreto commerciale, o che imponga condizioni tecniche oggettivamente impossibili, non sta costruendo un presidio: sta eludendo un obbligo.

7. La roadmap operativa

Tradurre il Regolamento in azioni concrete richiede tre fasi distinte, nell’ordine.

Prima fase — classificazione dei dati. Si distinguono i dati liberamente condivisibili dai dati sensibili e dai segreti commerciali. Questi ultimi vanno marcati nei metadati pertinenti e documentati nei sistemi interni. La classificazione non è un’operazione una tantum: va aggiornata con l’evoluzione dei sistemi e delle richieste ricevute.

Seconda fase — valutazione del destinatario. Non tutte le richieste presentano lo stesso profilo di rischio. Un grande operatore attivo negli stessi mercati del produttore richiede presidi diversi rispetto a un’officina indipendente o a un cliente finale. Le misure contrattuali si calibrano su questo profilo — non si applicano in modo uniforme a tutti.

Terza fase — documentazione contrattuale. Si aggiornano i termini di servizio, si predispongono appendici dedicate alla condivisione dei dati, si integrano NDA e clausole penali calibrate sul profilo del destinatario. Si definiscono protocolli chiari per la gestione delle richieste, per la notifica all’autorità competente in caso di rifiuto o sospensione, e per l’azionamento dei rimedi in caso di violazione.

8. Conclusioni

Il Data Act non è un obbligo di trasparenza totale. È un quadro che bilancia accesso ai dati e tutela del patrimonio informativo.

La distinzione tra dati grezzi, pretrattati e derivati fissa il perimetro dell’obbligo. I presidi contrattuali e tecnici — classificazione, valutazione del destinatario, documentazione — costituiscono la risposta operativa. L’obbligo di notifica all’autorità competente, in caso di rifiuto o sospensione, è il vincolo procedurale che non va ignorato.

Il produttore non può opporre un rifiuto generalizzato. Può costruire condizioni proporzionate, classificare i dati con metodo, azionare rimedi efficaci in caso di violazione. Può tutelarsi — a condizione di non aspettare la prima richiesta per cominciare a farlo.

—

Cosa verificare prima di agire Classificare i dati generati dal prodotto distinguendo grezzi, pretrattati e derivati — e documentare per iscritto i criteri usati per la classificazione. Identificare quali dati costituiscono segreti commerciali ai sensi dell’art. 2, punto 18, del Data Act e della Direttiva (UE) 2016/943 — e marcarli nei metadati pertinenti. Verificare che i termini di servizio e i contratti con utenti e terzi non contengano clausole abusive ai sensi dell’art. 13 del Regolamento. Predisporre un protocollo interno per la gestione delle richieste di accesso: chi riceve la richiesta, chi valuta il profilo di rischio del destinatario, chi autorizza la condivisione. Definire le misure tecniche di protezione da richiedere al destinatario come condizione previa alla condivisione — cifratura, controllo degli accessi, NDA — in funzione della sensibilità dei dati. Verificare l’identità e i contatti dell’autorità competente designata ai sensi dell’art. 37 nel proprio Stato membro: ogni rifiuto o sospensione della condivisione va notificato a quella autorità.

—

Note e riferimenti

[1] Comitato europeo per la protezione dei dati (EDPB), Linee guida 01/2020 sul trattamento dei dati personali nel contesto dei veicoli connessi e delle applicazioni legate alla mobilità, versione 2.0, adottate il 9 marzo 2021, consultabili su edpb.europa.eu.

[2] Regolamento (UE) 2023/2854 del Parlamento europeo e del Consiglio, del 13 dicembre 2023, riguardante norme armonizzate sull’accesso equo ai dati e sul loro utilizzo (Data Act), GU L 2023/2854 del 22.12.2023. Articolo 50, comma 3.

[3] Commissione europea, Comunicazione C(2025) 6119, Linee guida per il settore automotive sull’applicazione del Data Act, consultabile su EUR-Lex.

[4] Data Act, Considerando 15: distinzione tra dati grezzi, pretrattati e derivati; esclusione dei dati derivati dall’ambito dell’obbligo di condivisione.

[5] Data Act, art. 4, parr. 6, 7 e 8: tutela dei segreti commerciali, sospensione della condivisione, rifiuto puntuale e obbligo di notifica all’autorità competente designata ai sensi dell’art. 37.

[6] Data Act, art. 6, par. 2, lett. e): divieto per il terzo destinatario di utilizzare i dati per sviluppare un prodotto connesso concorrente.

[7] Data Act, art. 8, par. 1, e art. 13: principio FRAND e regime delle clausole abusive nei rapporti tra imprese.

[8] Data Act, art. 11, parr. 1 e 2: misure tecniche di protezione e rimedi in caso di uso non autorizzato o divulgazione illecita.

[9] Direttiva (UE) 2016/943 del Parlamento europeo e del Consiglio, dell’8 giugno 2016, sulla protezione dei segreti commerciali. La definizione di segreto commerciale richiamata dall’art. 2, punto 18, del Data Act rinvia a questa Direttiva.