Data Act — Regolamento (UE) 2023/2854¶
Regolamento sui dati (Data Act). Stabilisce norme armonizzate sull'accesso equo ai dati e sul loro utilizzo, con particolare riguardo ai dati generati da prodotti connessi e servizi correlati (Internet of Things), alla messa a disposizione di dati alle pubbliche amministrazioni in caso di necessità eccezionali, al passaggio (switching) tra servizi di trattamento dei dati in cloud e all'interoperabilità degli spazi di dati. Si applica a fianco di GDPR (per i dati personali) e di AI Act (laddove i dati siano usati nello sviluppo o nell'esercizio di sistemi di intelligenza artificiale).
Identificativi¶
| Campo | Valore |
|---|---|
| Titolo ufficiale | Regolamento (UE) 2023/2854 del Parlamento europeo e del Consiglio, del 13 dicembre 2023, riguardante norme armonizzate sull'accesso equo ai dati e sul loro utilizzo e che modifica il regolamento (UE) 2017/2394 e la direttiva (UE) 2020/1828 (regolamento sui dati) |
| CELEX | 32023R2854 |
| ELI | http://data.europa.eu/eli/reg/2023/2854/oj |
| Pubblicazione | GU L, 2023/2854 del 22.12.2023 |
| Adozione | 13 dicembre 2023 |
| Entrata in vigore | 11 gennaio 2024 |
| Applicazione | 12 settembre 2025 |
| Base giuridica | Articolo 114 TFUE |
| Tipo di atto | Regolamento — direttamente applicabile in tutti gli Stati membri |
Struttura¶
11 capi · 50 articoli · 119 considerando · nessun allegato.
| Capo | Argomento | Articoli |
|---|---|---|
| I | Disposizioni generali | 1 – 2 |
| II | Condivisione dei dati da impresa a consumatore e da impresa a impresa | 3 – 7 |
| III | Obblighi per i titolari dei dati tenuti a metterli a disposizione a norma del diritto dell'Unione | 8 – 12 |
| IV | Clausole contrattuali abusive relative all'accesso ai dati e al relativo utilizzo tra imprese | 13 |
| V | Messa a disposizione di dati a enti pubblici, Commissione, BCE e organismi dell'Unione per necessità eccezionali | 14 – 22 |
| VI | Passaggio tra servizi di trattamento dei dati | 23 – 31 |
| VII | Accesso governativo illecito e trasferimento internazionale di dati non personali | 32 |
| VIII | Interoperabilità | 33 – 36 |
| IX | Attuazione ed esecuzione | 37 – 42 |
| X | Diritto sui generis a norma della direttiva 96/9/CE | 43 |
| XI | Disposizioni finali | 44 – 50 |
Ambito di applicazione¶
Materiale (art. 1, par. 1-2): si applica alle norme su (a) messa a disposizione dei dati di prodotti connessi e servizi correlati all'utente; (b) condivisione di dati tra titolari dei dati e destinatari dei dati; (c) messa a disposizione di dati al settore pubblico in caso di necessità eccezionale; (d) facilitazione del passaggio tra servizi di trattamento dei dati; (e) salvaguardie contro l'accesso illecito di terzi a dati non personali; (f) sviluppo di norme di interoperabilità. Riguarda dati personali e non personali.
Soggettivo (art. 1, par. 3): si applica a fabbricanti di prodotti connessi e fornitori di servizi correlati; utenti nell'Unione; titolari dei dati e destinatari dei dati; enti pubblici, Commissione, BCE e organismi dell'Unione che richiedono dati in necessità eccezionale; fornitori di servizi di trattamento dei dati che servono clienti dell'Unione (a prescindere dal luogo di stabilimento); partecipanti agli spazi di dati e venditori di applicazioni che utilizzano contratti intelligenti.
Salvaguardie e coordinamento (art. 1, par. 5-9): è espressamente senza pregiudizio del diritto UE in materia di protezione dei dati personali, della vita privata e della riservatezza delle comunicazioni (in particolare GDPR, regolamento (UE) 2018/1725 e direttiva 2002/58/CE); integra i diritti di accesso e portabilità di cui agli articoli 15 e 20 del GDPR; lascia impregiudicati gli atti UE in materia di indagini penali, dogane e fisco, AML/CFT, proprietà intellettuale (direttive 2001/29/CE, 2004/48/CE e (UE) 2019/790) e tutela dei consumatori (direttive 93/13/CEE, 2005/29/CE e 2011/83/UE).
Cross-reference quadripartite con AI Act, GDPR e DGA¶
Il Data Act intercetta in modo strutturale il GDPR (per la dimensione "dati personali"), in modo operativo l'AI Act (perché i dati condivisi grazie al Data Act sono spesso input per l'addestramento o l'esercizio di sistemi IA) e in modo sistemico il DGA (atto-fratello del pacchetto-dati UE, che ne integra l'impianto). I rinvii letterali sono concentrati sull'asse Data Act ↔ GDPR; le intersezioni con AI Act e DGA sono prevalentemente di carattere operativo e sistematico.
Asse Data Act ↔ GDPR (rinvii diretti nel testo)¶
| Data Act | GDPR | Natura dell'intersezione |
|---|---|---|
| Art. 1, par. 5 | Tutto il GDPR; artt. 15, 20 | Clausola di salvaguardia: il Data Act è senza pregiudizio del GDPR; in caso di conflitto prevale il GDPR. I diritti del Capo II Data Act integrano (non sostituiscono) i diritti di accesso e portabilità GDPR |
| Art. 2, punto 3 («dati personali») | Art. 4, punto 1 | Definizione: rinvio definitorio diretto |
| Art. 2, punto 11 («interessato») | Art. 4, punto 1 | Definizione: rinvio definitorio diretto |
| Art. 2, punto 20 («profilazione») | Art. 4, punto 4 | Definizione: rinvio definitorio diretto |
| Considerando 7 | Artt. 6, 9; art. 5, par. 3 dir. 2002/58/CE | Il trattamento di dati personali a norma del Data Act richiede una valida base giuridica GDPR e, per categorie particolari, le condizioni dell'art. 9. La direttiva ePrivacy resta applicabile per i dati nelle apparecchiature terminali |
| Considerando 8 | Art. 5, par. 1, lett. c; art. 25 | Minimizzazione dei dati e protezione dei dati fin dalla progettazione restano principi-guida anche nelle condivisioni Data Act |
| Capo II — artt. 3-7 | Art. 20 | Diritto di accesso e condivisione dati prodotti connessi: complementare al diritto di portabilità GDPR, ma con ambito materiale (dati IoT) e soggettivo (utente, non solo interessato) più ampio |
| Considerando 22 | Art. 4, punti 7-8 | I responsabili del trattamento (GDPR) non fungono di per sé da titolari dei dati (Data Act); possono però esserne incaricati dal titolare del trattamento |
Asse Data Act ↔ AI Act (intersezioni operative)¶
| Data Act | AI Act | Natura dell'intersezione |
|---|---|---|
| Capo II — artt. 3-7 | Tutto l'AI Act, in particolare art. 10 | I dati di prodotti connessi resi accessibili in virtù del Data Act costituiscono una fonte legittima per la data governance dei sistemi IA ad alto rischio (qualità, rappresentatività, bias monitoring) |
| Capo VI — artt. 23-31 | Art. 25 (catena di valore IA) | Il diritto al passaggio tra servizi cloud incide sulla portabilità di modelli IA addestrati e sulle dipendenze tecniche del deployer da fornitori specifici |
| Considerando 7-8 | Art. 2, par. 7; art. 10 | Quando i dati condivisi sono dati personali, l'addestramento o il funzionamento di un sistema IA che li utilizza ricade simultaneamente sotto Data Act, GDPR e AI Act: il quadro è cumulativo, non alternativo |
| Capo VIII — artt. 33-36 | Capo VIII (banca dati UE); spazi europei comuni di dati | L'interoperabilità degli spazi di dati è precondizione tecnica per gli ecosistemi di dati su cui si basano molti sistemi IA settoriali |
Asse Data Act ↔ DGA (atti-fratelli del pacchetto-dati UE)¶
Il DGA (Reg. (UE) 2022/868) e il Data Act sono i due atti-fratelli della European data strategy: il DGA introduce un quadro orizzontale di governance per il riutilizzo, l'intermediazione e l'altruismo dei dati; il Data Act ne estende l'ambito ai dati di prodotti connessi (IoT) e regola la condivisione B2C, B2B, B2G e il cloud switching. I due regolamenti operano in modo cumulativo e sono progettati per essere coerenti.
| Data Act | DGA | Natura dell'intersezione |
|---|---|---|
| Considerando 1, 32, 90; intero impianto | Tutto il DGA | Il Data Act dichiara espressamente di integrare e non sostituire il DGA: insieme costituiscono il quadro UE sulla governance e sull'accesso ai dati |
| Capo II — artt. 3-7 (B2C/B2B); capo VI — artt. 23-31 (switching cloud) | DGA, capo III — artt. 10-15 (intermediazione) | I servizi di intermediazione DGA operano in coordinamento con la condivisione B2C/B2B e con il cloud switching del Data Act: requisiti di interoperabilità, neutralità del fornitore e portabilità si applicano in modo coerente |
| Capo II; capo V — artt. 14-22 (B2G in necessità eccezionali) | DGA, capo IV — artt. 16-25 (altruismo) | Le organizzazioni per l'altruismo dei dati DGA possono raccogliere e mettere a disposizione dati che ricadono nei meccanismi del Data Act (es. dati di prodotti connessi forniti dall'utente con consenso) |
| Capo VIII — artt. 33-36 (interoperabilità); capo IX (attuazione ed esecuzione) | DGA, capo VI — artt. 29-30 (EDIB) | L'EDIB (DGA capo VI) consiglia la Commissione su norme di interoperabilità degli spazi comuni europei di dati, a cui il Data Act dà attuazione operativa attraverso common standards, open interoperability specifications e codici di condotta |
| Art. 2, punti 1, 16 («dati», «metadati») | DGA, art. 2, punti 1, 6 («dati», «autorizzazione») | Le definizioni base sono allineate; il Data Act estende il vocabolario con concetti operativi (prodotto connesso, servizio correlato, metadati) che presuppongono il quadro DGA |
Quadrilatero definitorio (rinvii condivisi)¶
Tre definizioni chiave sono identicamente richiamate da Data Act, AI Act, GDPR e DGA, ancorate al GDPR come fonte primaria:
| Concetto | Data Act | AI Act | GDPR (fonte) | DGA |
|---|---|---|---|---|
| Dati personali | art. 2, punto 3 | art. 3, par. 50 | art. 4, punto 1 | art. 2, punto 3 |
| Profilazione | art. 2, punto 20 | art. 3, par. 52 | art. 4, punto 4 | n/a |
| Interessato | art. 2, punto 11 | (non ridefinito; rinvia al GDPR) | art. 4, punto 1 | art. 2, punto 7 |
La tabella copre i rinvii diretti. Cross-reference operative più estese (rapporti con DGA, DSA, Cyber Resilience Act, NIS2 e Product Liability Directive) saranno oggetto di approfondimenti dedicati nelle sezioni Soft law e Risorse via via che le pagine corrispondenti verranno pubblicate.
Modifiche e rettifiche¶
Il testo originario del 13 dicembre 2023 è in vigore dall'11 gennaio 2024 e si applica dal 12 settembre 2025. Alla data di pubblicazione di questa scheda non risultano rettifiche pubblicate in Gazzetta Ufficiale UE. Eventuali rettifiche o atti di esecuzione/delegati adottati dalla Commissione saranno integrati nelle revisioni successive di questa pagina.
Stato di applicabilità¶
Il Data Act è entrato in vigore l'11 gennaio 2024, ma la maggior parte degli obblighi sostanziali si applica a decorrere dal 12 settembre 2025 (cfr. art. 50 e considerando 117). Per alcune disposizioni sono previste decorrenze ulteriori, in particolare:
- gli obblighi di progettazione data-by-default dei prodotti connessi (art. 3) si applicano ai prodotti immessi sul mercato a partire da 12 settembre 2026;
- alcuni obblighi sui contratti tra titolari e destinatari (art. 13) hanno regimi transitori specifici per i contratti già in essere;
- le disposizioni sul passaggio tra servizi di trattamento dei dati (Capo VI) prevedono una transizione progressiva sulle tariffe di switching, con eliminazione totale entro il 12 gennaio 2027.
Il regolamento è direttamente applicabile in tutti gli Stati membri senza necessità di atti di recepimento. Le autorità competenti nazionali sono designate ai sensi degli articoli 37-38.
Termini correlati nel glossario¶
Voci del glossario AI-centric rilevanti per questo atto:
Fonti ufficiali¶
- EUR-Lex — versione italiana (CELEX 32023R2854)
- EUR-Lex — versione inglese (CELEX 32023R2854)
- EUR-Lex — European Legislation Identifier (ELI)
- Commissione europea — European data strategy
- Commissione europea — pagina dedicata al Data Act
- European Data Protection Board (EDPB) e GEPD — parere congiunto del 4 maggio 2022
Indice della sezione¶
- Considerando — testo integrale dei 119 considerando in versione bilingue, preceduti dalla frase introduttiva del preambolo
- Testo del regolamento — tutti gli articoli organizzati per capo:
- Capo I — Disposizioni generali (artt. 1-2)
- Capo II — Condivisione dei dati da impresa a consumatore e da impresa a impresa (artt. 3-7)
- Capo III — Obblighi per i titolari dei dati tenuti a metterli a disposizione a norma del diritto dell'Unione (artt. 8-12)
- Capo IV — Clausole contrattuali abusive relative all'accesso ai dati e al relativo utilizzo tra imprese (art. 13)
- Capo V — Messa a disposizione di dati a enti pubblici, Commissione, BCE e organismi dell'Unione per necessità eccezionali (artt. 14-22)
- Capo VI — Passaggio tra servizi di trattamento dei dati (artt. 23-31)
- Capo VII — Accesso governativo illecito e trasferimento internazionale di dati non personali (art. 32)
- Capo VIII — Interoperabilità (artt. 33-36)
- Capo IX — Attuazione ed esecuzione (artt. 37-42)
- Capo X — Diritto sui generis a norma della direttiva 96/9/CE (art. 43)
- Capo XI — Disposizioni finali (artt. 44-50)