Le numerose ambiguità e i ritardi nelle linee guida implementative e nelle clausole modello hanno portato alcune aziende interessate dal Data Act a posticipare i propri sforzi di conformità.
La situazione è innegabilmente insolita. Il Data Act è norma direttamente applicabile negli Stati membri e obbliga gli operatori dal 12 settembre 2025, anche in difetto di puntaule dettaglio in ordine agli adempimenti. Non è presente, infatti, un’autorità alla quale rivolgresi per le linee guida interpretative vincolanti. Nella pratica, le conseguenze amministrative per la non conformità non sono ancora possibili, poiché mancano autorità di vigilanza nazionali.

Al contempo, le parti beneficiarie degli obblighi – come gli utenti di dispositivi e servizi accessori e clienti di servizi di elaborazione dati – possono comunque far valere i propri diritti previsti dal regolamento nei tribunali ordinari, dove i singoli giudici dovranno pronunciarsi sulle controversie.
Nonostante l’attesa per l’affermazione di pratiche di mercato consolidate, i primi data notice relativi a prodotti e servizi correlati sono già disponibili sul mercato. Gli accordi tra detentori dei dati e utenti vengono conclusi a ritmo crescente, e i servizi di elaborazione dati stanno già adeguandosi. Tuttavia, è realistico riconoscere che l’implementazione completa del Data Act sull’intero mercato richiederà anni.
Considerazioni conclusive e raccomandazioni operative

In ragione di quanto fin qui indicato, appare evidente che il Data Act presenta ancora numerose incertezze e questioni irrisolte.
Un certo grado di incertezza riguardo alla correttezza delle interpretazioni e delle soluzioni adottate continuerà inevitabilmente a caratterizzare la fase preparatoria per qualche tempo, fino all’emissione di linee guida ufficiali vincolanti su singole questioni.

In questo contesto, gli operatori possono – tuttavia – adottare alcune misure immediate per prepararsi all’implementazione:
– condurre un’analisi di gap per identificare quali prodotti e servizi rientrano nell’ambito applicativo, mappando i flussi di dati e i ruoli secondo il Data Act e il GDPR; mappatura che dovrebbe includere l’identificazione di tutti i dispositivi connessi e servizi correlati offerti, la tipologia di dati raccolti (personali e non personali), e la determinazione dei ruoli di ciascun attore nella catena del valore dei dati.
– predisporre modelli contrattuali flessibili che incorporino le clausole essenziali per la protezione dei segreti commerciali, rimanendo pronti ad aggiornarli quando la Commissione pubblicherà le raccomandazioni finali. I modelli dovrebbero contemplare sia gli accordi con gli utenti per l’utilizzo dei dati, sia gli accordi per la condivisione con terzi, includendo le necessarie misure tecniche e organizzative di protezione.
– implementare sistemi di data governance che permettano di tracciare consensi e accordi su base utente. Questa infrastruttura sarà comunque necessaria a regime e include la capacità di identificare gli utenti, registrare i loro consensi, gestire le richieste di accesso e condivisione dei dati, e documentare le misure di protezione applicate ai segreti commerciali;
– monitorare costantemente gli aggiornamenti del documento FAQ della Commissione e partecipare alle consultazioni di settore per contribuire allo sviluppo delle best practice. L’adesione ad associazioni di categoria e gruppi di lavoro settoriali può facilitare la condivisione di esperienze e soluzioni tra operatori che affrontano sfide simili;
– valutare l’opportunità di consultare il Data Act Legal Helpdesk non appena operativo, specialmente per questioni complesse relative alla protezione dei segreti commerciali o per situazioni in cui l’intersezione con il GDPR crea ambiguità sui ruoli e responsabilità;
– formare adeguatamente il personale coinvolto nella gestione dei dati, dai team legali a quelli IT, assicurando che comprendano gli obblighi del Data Act e le procedure operative per il loro adempimento. La conformità richiede un approccio interdisciplinare che coinvolga competenze giuridiche, tecniche e di business.

L’approccio più prudente consiste nell’avviare progressivamente le attività di conformità, bilanciando il rischio di non conformità con i costi di implementazione in un contesto normativo ancora in evoluzione. Le aziende che agiranno tempestivamente, anche in presenza di incertezze, si troveranno in posizione di vantaggio quando le pratiche di mercato si consolideranno e le autorità di vigilanza nazionali diventeranno operative.

Nel frattempo, è opportuno documentare accuratamente le scelte interpretative adottate e le ragioni che le hanno guidate, in modo da poter dimostrare la buona fede nell’applicazione del regolamento qualora sorgessero contestazioni.
La fase attuale richiede un equilibrio delicato tra l’esigenza di conformità e la necessità di operare in un contesto di incertezza normativa, ma l’inazione non appare un’opzione sostenibile di fronte a un regolamento già pienamente applicabile.