Dal 12 settembre 2025, il Regolamento (UE) 2023/285 detto anche “Data Act”, entrato in vigore l’11 gennaio 2024, sarà applicabile a tutti i fornitori di servizi di trattamento dati.
Tale atto è la prima integrazione pratica al Data Governance Act del 2023, uno dei risultati della strategia europea per i dati avente lo scopo di creare un “Common European Space”.
Il Data Act è noto soprattutto per aver definito i diritti di accesso ai dati generati dall’uso di prodotti connessi o servizi “universali” e cioè correlati e gestibili da vari dispositivi, nonché le condizioni per il loro uso e per la loro condivisione. Secondo tale Regolamento si intendono “servizi di trattamento” ex art 2.8 anche i servizi cd edge, ovvero quelle procedure algoritmiche che consentono l’elaborazione, la memorizzazione e la trasmissione dei dati ad un data center.
La regolamentazione della portabilità dei dati è al centro del Data Act, in considerazione anche del fatto che lo stesso passaggio dei dati e l’interoperabilità degli stessi su più piattaforme, sono temi protagonisti all’interno della disciplina contrattualistica del cloud computing. Il Regolamento ha pertanto l’obiettivo di incoraggiare i fornitori di servizi di trattamento dati “a elaborare codici di condotta di autoregolamentazione e a dare loro effettiva attuazione, contemplando le migliori prassi per agevolare, tra l’altro, il passaggio ad altri fornitori di servizi di trattamento dei dati e la portabilità dei dati”[1]. Infatti “data la limitata diffusione dei quadri di autoregolamentazione elaborati in risposta e la generale indisponibilità di interfacce e norme aperte, è necessario adottare una serie di obblighi normativi minimi per i fornitori di servizi di trattamento dei dati al fine di eliminare gli ostacoli pre-commerciali, commerciali, tecnici, contrattuali e organizzativi, tra cui, ad esempio, la ridotta velocità di trasferimento dei dati all’uscita del cliente, che si frappongono a un passaggio efficace tra servizi di trattamento dei dati”[2]. La novità più importante attiene all’obbligo per il fornitore di inserire nel contratto di servizi una clausola che garantisca al cliente il diritto alla cancellazione dei propri dati “dopo la scadenza del periodo di almeno 30 giorni di calendario per il recupero dei dati o dopo la scadenza di un periodo alternativo concordato successiva ai 30 giorni, a condizione che il processo di passaggio sia stato completato con successo”[3].
Toccherà poi ai singoli Stati membri prevedere al riguardo poteri sanzionatori e di controllo, notificando le disposizioni normative afferenti a questi ultimi alla Commissione UE entro il 12 settembre 2025.
[1] Considerando 79 Regolamento (Ue) 2023/2854 del Parlamento Europeo e Del Consiglio del 13 dicembre 2023 riguardante norme armonizzate sull’accesso equo ai dati e sul loro utilizzo e che modifica il regolamento (UE) 2017/2394 e la direttiva (UE) 2020/1828 (regolamento sui dati)
[2] Considerando 79 Regolamento (Ue) 2023/2854
[3] Art 25.2 lett. h) Regolamento 2023/2854