di Luca Frabboni – Maat Srl
L’entrata in vigore del Data Act (Regolamento (UE) 2023/2584) il 12 settembre 2025 segna un momento di svolta nell’architettura normativa europea della governance dei dati, con ripercussioni significative per l’ecosistema dell’Intelligenza Artificiale. Questa normativa orizzontale introduce un paradigma giuridico innovativo per l’allocazione equa del valore generato dai dati, stabilendo un equilibrio delicato tra la tutela degli investimenti tecnologici e l’accesso democratico alle risorse informative.
Sebbene il Regolamento non menzioni espressamente l’Intelligenza Artificiale nelle sue definizioni formali, le sue disposizioni modellano profondamente il contesto normativo in cui i sistemi di IA operano, particolarmente per quanto concerne la distinzione tra dati soggetti a obblighi di condivisione e quelli protetti da tali obblighi.
Il Data Act si presenta come una normativa orizzontale di armonizzazione, volta a disciplinare la condivisione dei dati senza interferire direttamente con la protezione dei dati personali. La gerarchia normativa stabilita dal legislatore europeo è chiara: l’articolo 1, paragrafo 5, prevede che, in caso di conflitto, prevalgano le disposizioni del GDPR, preservando così il ruolo e le competenze delle Autorità per la Protezione dei Dati (DPA). Questo aspetto riveste una particolare rilevanza per i sistemi di intelligenza artificiale che trattano dati personali, poiché la conformità al GDPR resta un prerequisito inderogabile per ogni obbligo di condivisione dei dati derivante dal Data Act. In altri termini, prima di affrontare qualsiasi valutazione relativa all’accesso o allo scambio dei dati, l’operatore deve assicurarsi che il trattamento avvenga nel rispetto della normativa sulla privacy.
Il carattere trasversale del Data Act consente inoltre di integrarlo con normative settoriali specifiche, purché coerenti con i suoi principi fondamentali. Ciò impone ai professionisti legali di valutare attentamente l’interazione tra questa disciplina e altre fonti regolatorie, come il nuovo AI Act (Regolamento UE 2024/1689), destinato ai sistemi di IA ad alto rischio, il Digital Services Act, volto a regolare le piattaforme online, nonché normative verticali di settore – ad esempio in ambito sanitario, automotive o fintech. La capacità di comprendere e gestire queste intersezioni rappresenta una competenza sempre più strategica per chi opera nel campo giuridico e regolatorio.
Uno degli elementi più innovativi introdotti dal Data Act è la chiara distinzione tra dati grezzi e dati arricchiti. La norma impone la condivisione dei soli dati grezzi o pre-processati, cioè quelli “prontamente disponibili” al detentore in ragione della progettazione tecnica del prodotto. Questa definizione è cruciale nel contesto dell’intelligenza artificiale, dove la linea di demarcazione tra dato grezzo e dato arricchito condiziona direttamente gli obblighi legali delle imprese. Sono considerati dati condivisibili quelli generati automaticamente da sensori o dispositivi IoT, immediatamente disponibili senza ulteriori elaborazioni complesse, privi di inferenze algoritmiche significative e non derivanti da investimenti aggiuntivi in analisi. Per contro, il Regolamento esclude espressamente dalla condivisione i dati altamente arricchiti, ossia quelli inferiti o derivati mediante algoritmi proprietari complessi, gli output di modelli di machine learning capaci di generare nuove intuizioni, le analisi predittive e le raccomandazioni personalizzate. Si tratta di una salvaguardia fondamentale per la tutela degli investimenti in innovazione, poiché protegge il valore aggiunto generato da algoritmi e modelli proprietari.
Gli esempi pratici chiariscono l’impatto di questa distinzione. Nel caso dei veicoli autonomi, rientrano nell’obbligo di condivisione i dati grezzi provenienti dai sensori LiDAR, dalle telecamere o dal GPS, mentre ne restano esclusi gli algoritmi di guida autonoma, le mappe di navigazione ottimizzate e i profili comportamentali del conducente. Analogamente, per i dispositivi medici intelligenti, sono condivisibili le rilevazioni biometriche di base e i dati con timestamp, ma non le diagnosi automatizzate, gli score di rischio calcolati o le raccomandazioni terapeutiche personalizzate. Queste differenze operative incidono direttamente sulle strategie contrattuali e di protezione della proprietà intellettuale delle imprese che sviluppano soluzioni AI.
Per i professionisti legali, il Data Act introduce nuove esigenze di due diligence e di audit dei dati. Diventa necessario mappare i flussi informativi aziendali, identificare correttamente i soggetti qualificabili come “data holders” e “users” secondo le definizioni del Regolamento, valutare il grado di arricchimento dei dati attraverso criteri oggettivi e analizzare la “prontezza” dei dataset alla condivisione. A ciò si affianca l’elaborazione di strategie di protezione della proprietà intellettuale, come l’implementazione di misure per limitare la divulgazione dei trade secrets, la documentazione degli investimenti in algoritmi proprietari e la valutazione del rischio di reverse engineering derivante dalla condivisione dei dati.
Sul piano contrattuale, il Data Act incide in modo significativo sui rapporti B2B introducendo specifici divieti relativi alle clausole contrattuali sleali (art. 13), con particolare attenzione ai contratti che coinvolgono le PMI. Vengono vietate, ad esempio, l’esclusione unilaterale dell’accesso ai dati da parte dell’utente, le limitazioni sproporzionate sulla portabilità, le esenzioni di responsabilità eccessive per violazioni della sicurezza e le clausole di esclusiva non giustificate. Tali prescrizioni si applicheranno a tutti i nuovi contratti dal 12 settembre 2025 e, dal 12 settembre 2027, anche ai contratti a durata indefinita o di lungo termine già in essere. In parallelo, i detentori dei dati dovranno garantire formati standardizzati (JSON, XML, CSV), qualità dei dati equivalente a quella utilizzata internamente, modalità di accesso tramite API RESTful o architetture event-driven e, ove tecnicamente fattibile, accesso continuo in tempo reale.
Un ulteriore capitolo riguarda i servizi cloud ed impatta quindi direttamente anche sull’interoperabilità dei sistemi di intelligenza artificiale, trattandosi di soluzioni quasi esclusivamente basate su cloud. Un esempio concreto: dal 12 gennaio 2027 i fornitori non potranno più addebitare costi per la migrazione di modelli AI tra piattaforme diverse, per l’egress dei dataset utilizzati nel training o per il porting di algoritmi e pipeline di elaborazione. Questa misura riduce sensibilmente le barriere economiche alla portabilità dei sistemi AI tra diversi provider. La Commissione europea, inoltre, metterà a disposizione un repository comune contenente standard tecnici armonizzati, specifiche per API di data sharing, best practices per la sicurezza e template contrattuali standardizzati, facilitando così l’attuazione uniforme della normativa.
Sul fronte della governance e dell’enforcement, ogni Stato membro designerà una Autorità Competente Nazionale con poteri investigativi e sanzionatori e un Coordinatore dei Dati quale punto di contatto unico per le imprese, al fine di facilitare la cooperazione transfrontaliera e supportare la risoluzione delle controversie. Il Data Act prevede procedure specifiche di mediazione obbligatoria prima del ricorso giurisdizionale, arbitrati specializzati per controversie tecniche complesse e fast-track procedures per quelle di valore limitato. Anche i produttori e fornitori stabiliti fuori dall’UE saranno tenuti a designare un rappresentante legale all’interno dell’Unione e a garantire la conformità attraverso quest’ultimo, sottostando alla giurisdizione delle autorità europee.
Alla luce di questo quadro, per la professione legale è imprescindibile una preparazione operativa immediata. Entro il 12 settembre 2025 sarà necessario aggiornare i modelli contrattuali eliminando clausole potenzialmente sleali, implementare procedure di classificazione dei dati per distinguere tra grezzi e arricchiti, sviluppare programmi di compliance integrati con GDPR e normative settoriali e formare team interdisciplinari che combinino competenze giuridiche e tecniche. Al tempo stesso, il Data Act apre nuove opportunità di business: auditing di compliance per sistemi AI, strategie di protezione della proprietà intellettuale, ingegneria contrattuale per accordi di data sharing e governance dei dati transfrontaliera per le multinazionali.
Infine, il Data Act segna un vero e proprio cambio di paradigma nell’approccio europeo alla governance dei dati, con implicazioni profonde anche per l’ecosistema dell’intelligenza artificiale. La distinzione tra dati grezzi e arricchiti, pur non menzionando esplicitamente l’IA, contribuisce a delineare il contesto normativo in cui i sistemi vengono sviluppati, implementati e commercializzati. L’equilibrio raggiunto tra protezione dell’innovazione e accesso democratico alle informazioni costituisce un modello che potrebbe orientare anche altri ordinamenti nel mondo. Per i professionisti del diritto, la capacità di navigare con competenza questo scenario complesso diventerà un fattore competitivo decisivo nell’economia digitale europea post-Data Act.
LEGAL PROMPTING: Intelligenza Artificiale in pratica
Vuoi scoprire come usare davvero l’Intelligenza Artificiale nel tuo lavoro di avvocato? Il corso “Legal Prompting: Intelligenza Artificiale in pratica” ti guida passo dopo passo con esempi concreti e applicazioni reali. Il modulo 2 sarà dedicato allo strumento di intellegenza artificale di OpenAI: verranno mostrate nel dettaglio tutte le novità ChatGPT5 e le sue applicazioni pratiche nello studio legale.
Iscriviti ora per trasformare l’IA in uno strumento operativo al servizio della tua professione!
