Data Act: perché l’articolo 41 crea problemi alle aziende

Le origini strategiche del data act europeo

Il Data Act (Regolamento UE 2023/2854), tassello di una strategia ambiziosa che mira a trasformare l’Unione Europea nel leader mondiale dell’economia basata sui dati (Strategia per il Mercato Unico Digitale nel 2015 e soprattutto Strategia Europa 2020), diventa pienamente efficace Il 12 settembre 2025.

Si tratta di un regolamento le cui tensioni interne applicative sono già oggi del tutto evidenti.

Accesso e circolazione dei dati, protezione delle persone fisiche, protezione dei segreti commerciali ed equilibrio tra le imprese: frecce in diversa tensione che devono trovare qui un loro equilibrio. Sfida dunque di non poco conto.

E già oggi l’attuazione dell’art. 41 plasma in maniera chiara questa difficoltà che dovremo affrontare.

Partiamo allora dall’inizio.

Il contesto normativo e gli obiettivi dell’articolo 41

Tale articolo stabilisce che:

“La Commissione, prima del 12 settembre 2025, elabora e raccomanda clausole contrattuali tipo non vincolanti relative all’accesso ai dati e al relativo utilizzo, comprese clausole su un compenso ragionevole e sulla protezione dei segreti commerciali, nonché clausole contrattuali standard non vincolanti per i contratti di cloud computing per assistere le parti nella stesura e nella negoziazione di contratti equi, ragionevoli e non discriminatori dal punto di vista dei diritti e degli obblighi contrattuali”

Le clausole tipo e i modelli contrattuali previsti dal Data Act

La ratio dell’articolo è molto chiara se si legge il Considerando 111 ove si afferma che “al fine di aiutare le imprese a redigere e negoziare contratti è opportuno che la Commissione elabori e raccomandi clausole contrattuali tipo non vincolanti per i contratti di condivisione dei dati tra imprese, tenendo conto, se necessario, delle condizioni in settori specifici e delle pratiche esistenti con meccanismi volontari di condivisione dei dati“.

Pacifico che la norma persegue obiettivi strategici multipli: facilitare l’adozione pratica del Data Act attraverso la standardizzazione contrattuale, ridurre i costi di transazione per le imprese (specialmente le PMI), e promuovere la certezza giuridica in un settore caratterizzato da rapida evoluzione tecnologica e significativi squilibri di potere negoziale (con un occhio in particolare alle PMI).

Allo scopo di dare attuazione a tale previsione normativa la Commissione, attraverso il gruppo di esperti costituito nel settembre 2022, ha sviluppato due tipologie principali di strumenti contrattuali (si veda Relazione Final Report of the Expert Group on B2B data sharing and cloud computing contracts – 2 aprile 2025)

• i Model Contractual Terms (MCT): quattro set di clausole per scenari specifici di condivisione dati (MCT Annex I: Data Holder to User; MCT Annex II: User to Data Recipient; MCT Annex III: Data Holder to Data Recipient; MCT Annex IV: Data Sharer to Data Recipient (condivisione volontaria)
• gli Standard Contractual Clauses (SCC): sei clausole modulari per contratti di cloud computing, che coprono aspetti come switching, terminazione, sicurezza, responsabilità e non-modifica.

Le osservazioni critiche dell’EDPB sull’attuazione dell’articolo 41

In data 27 maggio la Commissione Ue ha presentato le bozze di clausole contrattuali al sottogruppo di esperti CEH (Contractual European Harmonisation) che opera all’interno dell’EDPB: lo stesso EDPB in data 8 luglio ha fornito osservazioni critiche su tali bozze di clausole contrattuali.

Affermando sin da subito che, data la complessità della materia e il tempo limitato per il feedback, i commenti sono di natura non esaustiva e di alto livello, l’EDPB solleva le seguenti criticità.

Ambiguità nella classificazione degli utenti del Data Act

Si evidenzia una ambiguità di fondo nella classificazione degli “utenti” secondo il Data Act. L’EDPB osserva che “le MCT sembrano essere state redatte per parti contraenti con status diverso, poiché gli ‘utenti’ nell’ambito del Data Act possono essere sia persone giuridiche che persone fisiche“.

Quando l’utente è una persona fisica, può qualificarsi o meno come interessato secondo la legislazione sulla protezione dei dati. Inoltre, anche quando l’utente si qualifica come interessato, possono essere coinvolti dati personali di altre persone fisiche, come nel caso di apparecchiature domestiche connesse utilizzate da diversi membri della famiglia.

Problematiche sui meccanismi di compensazione

L’EDPB ha rilevato che “alcune clausole fanno una chiara distinzione tra dati personali e non personali, mentre altre no“. Particolarmente problematiche sono le clausole sulla compensazione negli Annex II e III del Final Report of the Expert Group on B2B data sharing and cloud computing contracts, che secondo l’EDPB sono “formulate in modo molto generico nella loro formulazione attuale e che possono portare a questioni sul loro ambito di applicazione”.

L’EDPB raccomanda fortemente che la Commissione limiti i meccanismi di compensazione negli Annex II e III all’uso di dati non personali, in conformità all’articolo 4(13) del Data Act, ribadendo il principio che i dati personali non possono essere considerati una merce commerciabile.

Prevalenza del Gdpr sul Data Act: chiarimenti necessari

L’EDPB ricorda che, secondo l’articolo 1(5) del Data Act, il regolamento lascia impregiudicato il diritto dell’Unione e nazionale sulla protezione dei dati personali. “In caso di conflitto tra il Data Act e il diritto dell’Unione sulla protezione dei dati personali o sulla privacy, il diritto pertinente dell’Unione o nazionale sulla protezione dei dati personali o sulla privacy prevale“

L’EDPB sottolinea che “dovrebbe essere chiaramente indicato nelle caselle informative delle MCT che, per quanto riguarda i dati personali, la conformità alle sole MCT non porta necessariamente alla conformità al GDPR“. Le parti potrebbero dover implementare misure aggiuntive per soddisfare completamente i requisiti di protezione dei dati.

Protezione dei consumatori nelle clausole del Data Act

L’EDPB conclude sottolineando che “le MCT dovrebbero considerare meglio la vulnerabilità dei consumatori e gli squilibri di potere che emergono nell’economia digitale. Le penali contrattuali dovrebbero essere proporzionate e non devono violare i diritti degli interessati”

Le riserve dell’industria sui modelli contrattuali della commissione

Le tensioni sopra evidenziate si palesano ancor di più analizzando la posizione delle imprese.

Già a marzo 2025, una coalizione di associazioni industriali guidata dalla Business Software Alliance (BSA) ha inviato una lettera congiunta alla Commissione europea esprimendo una serie di preoccupazioni sulle bozze di SCC e MCT: tale coalizione include organizzazioni come Adigital, CCIA Europe, Global Data Alliance, ITI e ZPP e rappresenta quindi aziende attive in tutta la catena del valore dei dati in diversi settori.

Il documento Centre for european Policy Network – Vorschlag COM(2022) 68 vom 23. Februar 2022 für eine Verordnung über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung evidenzia i seguenti aspetti critici:

Eccesso di mandato nelle clausole del Data Act

La coalizione industriale sostiene che le bozze attuali “vanno oltre il mandato dell’articolo 41 del Data Act includendo clausole dettagliate e potenzialmente inapplicabili su responsabilità, termini e risoluzione, trasferimento di prodotti, non-dispersione e non-modifica“. Inoltre, le bozze “non riescono a distinguere tra requisiti tecnici per i servizi di elaborazione dati infrastrutturali e i servizi software e di piattaforma“

Conflitti con altre legislazioni UE

Un aspetto particolarmente problematico è che “le SCC del Data Act non dovrebbero imporre obblighi che confliggono con altre legislazioni UE come il GDPR o con SCC già pubblicate per altre legislazioni UE“. Data la probabilità che i sistemi dei fornitori non distinguano tra dati personali e non personali del cliente, i profili delle SCC del Data Act che confliggono con i requisiti GDPR potrebbero risultare inapplicabili.

Mancanza di equilibrio contrattuale

La BSA e le altre associazioni sostengono che le bozze attuali “non riescono a stabilire un equilibrio equo tra le parti e dovrebbero considerare meglio le pratiche industriali consolidate. E ancora si afferma che le bozze invece di chiarire questioni aperte sull’applicazione dei diritti e obblighi del Data Act, le MCT e SCC “creano incertezze aggiuntive e non raggiungono il loro obiettivo previsto di assistere le parti nella redazione e negoziazione di contratti equi, ragionevoli e non discriminatori”

Rischi per l’adozione del Data Act

La coalizione avverte che “l’adozione sarà ostacolata se le SCC e MCT non aderiscono alle disposizioni e definizioni del Data Act“: più precisamente si afferma che l’intero corpo di lavoro potrebbe essere compromesso se le clausole che si spingono oltre le competenze dell’UE nel diritto contrattuale nazionale verranno contestate e dichiarate nulle.

La compensazione dei dati nel Data Act: questioni controverse

Da ultimo una delle questioni più controverse riguarda poi i meccanismi di compensazione previsti dalle MCT. Mentre l’articolo 41 prevede clausole “su un compenso ragionevole”, l’EDPB ha espresso forti riserve sulla possibilità che tali meccanismi si applichino ai dati personali, richiamando il principio consolidato che i dati personali non possono essere trattati come una merce commerciabile

Equilibri normativi e prospettive future per l’articolo 41

L’implementazione dell’articolo 41 del Data Act va ben oltre l’attuazione di una singola norma, rappresentando invece, in qualche modo, l’obiettivo che la UE si sta ponendo: la capacità di bilanciare innovazione tecnologica, protezione dei diritti fondamentali e competitività economica. Le posizioni divergenti dell’EDPB e dell’industria evidenziano la complessità di questo equilibrio.

Da un lato, infatti l’EDPB sottolinea giustamente la necessità di proteggere i diritti degli interessati e mantenere la prevalenza del GDPR, evidenziando lacune nelle bozze delle clausole che potrebbero compromettere la protezione dei dati personali, mentre dall’altro, l’industria esprime preoccupazioni legittime sui rischi di sovra-regolamentazione e sui potenziali impatti sulla competitività globale.

Il successo di tale sfida (e dell’articolo 41) dipenderà dalla capacità della Commissione di trovare una sintesi efficace tra queste posizioni, producendo clausole che siano al contempo pratiche per le imprese e coerenti con il quadro normativo europeo esistente.

La prossima scadenza del 12 settembre 2025 rappresenta quindi non solo un termine amministrativo, ma un momento decisivo per il futuro dell’economia digitale europea e per la sua capacità di coniugare innovazione e protezione dei diritti fondamentali in un mercato globale sempre più competitivo.