Nel contesto della crescente digitalizzazione, la gestione e la condivisione dei dati rappresentano una sfida centrale per imprese e professionisti. Il nuovo Data Act, che diventerà applicabile dal 12 settembre 2025, introduce un quadro normativo ambizioso per regolamentare l’accesso ai dati generati da prodotti connessi e servizi digitali. Ma cosa succede quando tali dati contengono segreti commerciali o informazioni riservate?
Questo articolo analizza il rapporto tra il Data Act e la tutela del know-how aziendale, offrendo spunti pratici per affrontare le nuove responsabilità e proteggere il valore economico dei dati.
Indice
Cos’è il Data Act
Il Regolamento (UE) 2023/2854, meglio noto come Data Act, stabilisce un nuovo quadro giuridico per l’accesso, l’utilizzo e la condivisione dei dati, con un’attenzione particolare a quelli generati da prodotti connessi e servizi correlati.
Diventerà applicabile a partire dal 12 settembre 2025. Per tale data, tutti i fornitori di servizi di trattamento dati dovranno rivedere i propri contratti e processi operativi per garantirne la conformità.
Perché ci riguarda: prime considerazioni applicative
La prima questione cruciale è capire cosa si intende per “dato” nel Data Act.
A differenza del GDPR, non parliamo solo di dati personali, bensì di:
“qualsiasi rappresentazione digitale di atti, fatti o informazioni e qualsiasi raccolta di atti, fatti o informazioni, anche sotto forma di registrazione sonora, visiva o audiovisiva” (art. 2.1 Data Act).
È la stessa definizione usata anche nel Data Governance Act e nel Digital Markets Act, segno che si sta consolidando un linguaggio comune sul concetto di dato.
Il legislatore ha scelto una nozione ampia e tecnologicamente neutra, in grado di includere anche dispositivi e formati futuri.
In un mercato digitale moderno, risulta evidente come questa definizione estesa, possa includere anche dati tecnici, dati su prestazioni, stato dei componenti, configurazioni o log di funzionamento che, se rilevanti per la competitività aziendale e non noti al pubblico, possono avvicinarsi al concetto di segreto industriale, rendendo cruciale per le imprese valutarne la protezione con attenzione. Ma procediamo con ordine.
Chi sono i soggetti coinvolti da Data Act?
Data Holder
Il “data holder” (art. 2(6) Data Act) è qualsiasi persona fisica o giuridica che ha il diritto, la capacità o il potere di rendere disponibili determinati dati, in particolare i dati generati o raccolti da un prodotto connesso o da un servizio correlato.
Facciamo qualche esempio: il produttore di un dispositivo connesso (es. smart TV, auto connesse), oppure il fornitore di un servizio digitale associato al prodotto.
In caso di richiesta dall’Utente, il data holder sarà obbligato a condividere i dati, con l’utente stesso o con un terzo designato, alle condizioni previste dal Regolamento.
Utente
L’Utente (art. 2(7) Data Act) è la persona fisica o giuridica che possiede, noleggia o utilizza un prodotto connesso o è destinataria di un servizio correlato.
Il Data Act garantisce all’Utente il diritto di accedere ai dati generati durante l’uso del prodotto o servizio in questione.
La Commissione Europea propone l’esempio dell’acquisto di frigorifero smart: in questo caso l’Utente (il consumatore che utilizza un’app per ottimizzare la temperatura del frigo) avrà a che fare con due Data Holder, il produttore del frigo e lo sviluppatore dell’app, ciascuno dei quali è tenuto a informare chiaramente l’Utente sui dati raccolti e metterli a disposizione senza costi, attraverso procedure semplici.
L’Utente potrà anche decidere di condividere i dati con terzi, direttamente o tramite i Data Holder. Ciò può avvenire nell’ambito di un cambio fornitore (es. per attività di manutenzione tecnica), per ottenere nuovi servizi e altre circostanze. In ogni caso, l’Utente ha diritto ad una trasparenza chiara sui dati che sono generati e raccolti dal dispositivo.
Il concetto di segreto commerciale nella normativa UE
Quando parliamo di segreto commerciale ci riferiamo a concetti già noti inseriti nel Codice della Proprietà Industriale (art. 98 di attuazione della Direttiva (UE) 2016/943).
In particolare, l’Art. 98 CPI definisce come segreto commerciale tutte “le informazioni aziendali e le esperienze tecnico-industriali, comprese quelle commerciali, che siano ”segrete” (nel senso che non siano nel loro insieme o nella precisa configurazione e combinazione dei loro elementi generalmente note o facilmente accessibili agli esperti ed agli operatori del settore), che abbiano “un valore economico” in quanto segrete e che “siano sottoposte a misure da ritenersi ragionevolmente adeguate a mantenerle segrete”.
Sono quindi tre gli elementi che devono sussistere.
Non tutte le informazioni aziendali, quindi, sono qualificabili come “segreti” e come tali meritevoli di fruire della tutela rafforzata prevista del Codice. Ne consegue che le Aziende dovrebbero fare un lavoro di identificazione e classificazione delle informazioni così da adeguatamente proteggere quelle segrete e, quindi, di valore.
[Vedi anche Come proteggere il know how aziendale?]
Tutela del know-how: una priorità ancora trascurata
Fino ad oggi, l’esperienza pratica ha dimostrato che le aziende mostrano ancora una bassa sensibilità nell’identificare le informazioni che possono essere considerate “segreti commerciali” e nell’adottare le misure necessarie per garantire la loro riservatezza.
La paura è che l’implementazione delle misure a tutela dei segreti comporti un rallentamento delle attività. In altri termini, in molte realtà, prevale la necessità di mantenere un accesso fluido alle informazioni aziendali, evitando politiche che possano ostacolare la circolazione delle stesse, sia internamente che nelle comunicazioni con terzi. Tuttavia, questa scelta rischia di compromettere il patrimonio informativo dell’azienda, il quale acquisterà sempre più importanza nell’attuale contesto di connessione digitale.
Tuttavia, oggi, il Data Act spinge le imprese a muoversi con più urgenza: per proteggere il proprio business, è fondamentale identificare con chiarezza quali dati possano essere qualificati come “segreto commerciale”.
Un esercizio tanto più delicato se si considera che, in parallelo, il nuovo quadro normativo impone obblighi di trasparenza e condivisione dei dati: due istanze che possono entrare in tensione, e che le imprese dovranno imparare a bilanciare con attenzione.
Accesso ai dati previsto dal Data Act e rischi per i segreti commerciali
Come si è visto, l’articolo 4 del Data Act garantirà agli Utenti dei dispositivi connessi il diritto di accedere ai dati generati da questi ultimi e, su richiesta, di trasferirli a terzi. Un’adeguata gestione degli obblighi di trasparenza da parte dei Data Holder, senza dubbio contribuirà alla competitività ed efficienza dei prodotti connessi e servizi correlati commercializzati. Ma a quali rischi si andrà in contro per la protezione dei segreti commerciali? Come si possono coniugare la necessità di segretezza con gli obblighi di trasparenza?
È su questo tema che emergono le maggiori criticità.
In realtà, il Data Act da una parte impone l’accesso ai dati, ma dall’altra parte tiene in considerazione l’esigenza di tutelare i segreti attraverso cautele e misure di salvaguardia.
In particolare, se la richiesta di accesso riguarda segreti commerciali, il Data Holder può opporsi o identificare meccanismi di tutela degli stessi. Ma il segreto non può essere una mera scusa per evitare la condivisione. Ne consegue che il Data Holder sarà prima di tutto tenuto a identificare quali informazioni possano essere qualificate segreto commerciale, e solo successivamente implementare misure di protezione tecniche e legali adeguate a mantenere la riservatezza – ma unicamente su tali informazioni.
Qualora dalla divulgazione possa derivare un rischio elevato di danno economico, il detentore dei dati, quindi, può rifiutare la condivisione, invocando le eccezioni previste dall’articolo 4 (8) del Data Act.
Interessante è anche quanto previsto dall’articolo 5 del Data Act che definisce i limiti di condivisione dei segreti con i terzi.
L’utente può condividere i segreti commerciali a cui ha accesso con terzi solo se è strettamente necessario per raggiungere un obiettivo concordato. Il titolare dei dati o chi detiene il segreto commerciale identifica quali informazioni sono protette e concorda con il terzo le misure necessarie per mantenere la riservatezza, come contratti, accordi di riservatezza e protocolli di accesso. Se non ci sono accordi sulle misure di protezione o se il terzo non le rispetta, il titolare può fermare o sospendere la condivisione.
Obblighi di protezione: cosa cambia per le imprese
Visto l’approssimarsi del 12 settembre, giorno in cui il Data Act diventerà pienamente applicabile, le Imprese devono affrontare il problema. Infatti, non è più possibile accampare scuse ed è arrivato il momento per le Aziende di investire in compliance e governance dei dati iniziando con una valutazione di quali siano le tipologie di informazioni in proprio possesso, valutandone le conseguenze. In sintesi, è opportunoi
-
- classificare accuratamente i dati (distinguendo tra dati liberamente condivisibili e dati protetti),
- adottare misure contrattuali efficaci (ad esempio NDA, clausole specifiche nei contratti di accesso),
- implementare misure tecniche idonee (es. pseudonimizzazione, watermarking).
Il Data Act apre nuove opportunità per l’economia dei dati, ma impone anche nuove responsabilità.
Per le imprese, la vera sfida sarà coniugare apertura e trasparenza con la protezione del know-how.
Serve un approccio strutturato, in grado di proteggere il proprio vantaggio competitivo rispettando al contempo il nuovo quadro normativo europeo.
Il 12 settembre 2025 non è lontano. Il momento di prepararsi è adesso.
