EU Data Act — Il Regolamento che Sblocca i Dati Industriali per AI Training

Cos'è: L'EU Data Act è il regolamento europeo entrato in vigore l'11 gennaio 2024 e divenuto pienamente applicabile dal 12 settembre 2025. Affronta una questione che il GDPR non risolveva: chi possiede e può usare i dati generati da prodotti connessi e servizi correlati — dalle auto smart alle macchine industriali, dagli elettrodomestici IoT ai sensori agricoli. La sua rilevanza per l'AI è duplice: sblocca enormi volumi di dati industriali per il training di modelli, e impone obblighi tecnici di cloud switching che cambiano l'architettura di ogni servizio AI deployato in Europa.

Cosa regola il Data Act

Il Data Act si applica a una categoria specifica: i "dati generati dall'uso di prodotti connessi e servizi correlati". In pratica, tutti i dati che oggi vengono prodotti da macchinari, veicoli, dispositivi consumer e infrastrutture che integrano sensori e connettività — e che fino a oggi rimanevano nei sistemi proprietari dei produttori. Una macchina agricola John Deere produce dati di campo, umidità, consumo carburante, performance del motore. Un'auto Tesla produce telemetria di guida, log diagnostici, dati ambientali. Un macchinario industriale Siemens produce stream di vibrazioni, temperatura, throughput. Storicamente tutti questi dati erano accessibili solo al produttore.

Il regolamento introduce tre diritti principali. Primo, l'utente del prodotto (proprietario, locatario, gestore) ha diritto di accedere ai dati generati dal proprio device e di esportarli in formato strutturato. Secondo, l'utente può autorizzare l'accesso ai dati a terze parti — incluso, esplicitamente, l'uso per training di modelli AI. Terzo, in casi eccezionali di interesse pubblico (catastrofi, emergenze sanitarie), gli enti pubblici possono richiedere accesso ai dati senza il consenso individuale.

Implicazione AI: dati industriali europei in vendita

Per il settore AI europeo la portata è significativa. Per la prima volta diventa legalmente chiaro che un'azienda manifatturiera può, con il consenso dei propri clienti, accedere ai dati di uso dei propri prodotti anche quando il device è venduto da un produttore terzo. Un'azienda di logistica può aggregare dati operativi dai propri camion indipendentemente dal marchio. Una cooperativa agricola può combinare dati di campo da macchine di produttori diversi. Una utility energetica può analizzare consumi da meter smart anche prodotti da vendor esterni.

Tutti questi pool di dati erano, fino al 2024, di fatto inaccessibili. Ora diventano la materia prima per modelli AI verticali specializzati nei settori industriali europei: predictive maintenance, ottimizzazione energetica, agritech, automotive, smart manufacturing. L'Europa, che non ha colossi LLM consumer paragonabili a OpenAI o Anthropic, ha però un tessuto industriale e manifatturiero di prima classe. Il Data Act è stato pensato come leva strategica per trasformare quel vantaggio in dati di training, e i dati di training in modelli AI competitivi nei settori dove l'Europa ha posizione.

Cloud switching e portabilità — l'altro pilastro

Il Data Act ha una seconda dimensione, meno discussa ma altrettanto rilevante per chi deploya servizi AI: gli obblighi di cloud switching. Le aziende cloud — AWS, Azure, GCP, OVHcloud, Hetzner — sono ora obbligate a rimuovere progressivamente le egress fees (i costi addebitati al cliente per estrarre i propri dati dal cloud), ad applicare un periodo di switching ragionevole, e a fornire interoperabilità tecnica per il passaggio a provider concorrenti. L'obiettivo dichiarato è ridurre il lock-in dei tre hyperscaler americani sul mercato cloud europeo.

Per chi costruisce sistemi AI in produzione l'impatto operativo è concreto. Le applicazioni AI tendono a essere data-intensive e tightly coupled al provider cloud — inference su GPU specifiche, storage per dataset training, pipeline orchestrate con servizi proprietari (SageMaker, Vertex AI, Azure ML). Le egress fees rendevano economicamente proibitivo migrare workload AI tra provider. Eliminandole, il Data Act crea pressione competitiva sui provider e apre spazio per provider europei (OVHcloud, Scaleway, Aruba) di competere su workload AI che prima erano inerzialmente bloccati su AWS o Azure.

Il rapporto con AI Act, GDPR, Data Governance Act

Il Data Act non è isolato: si inserisce in un pacchetto di tre regolamenti europei che insieme definiscono il framework dati-AI. Il GDPR (2018) regola i dati personali. Il Data Governance Act (2022) regola la condivisione di dati di interesse pubblico e introduce i data intermediaries. Il Data Act (2024) regola i dati industriali e IoT. Sopra a tutti questi sta l'AI Act (2024/2025), che regola lo sviluppo e l'uso di sistemi AI ad alto rischio.

L'integrazione tra Data Act e AI Act è esplicita: l'AI Act richiede che i modelli ad alto rischio siano addestrati su dati di qualità appropriata, tracciabili e adeguatamente governati. Il Data Act fornisce la base giuridica per accedere a quei dati. Per le imprese italiane il messaggio operativo è che la compliance dati-AI non è più una singola legge ma uno stack di quattro regolamenti che vanno coordinati. Il punto critico è la sovrapposizione GDPR-Data Act: molti dati IoT contengono informazioni personali derivabili (geolocalizzazione, pattern di uso individuali). Quando il Data Act dà diritto di esportazione e il GDPR impone consenso per il processing, le aziende devono progettare flussi di autorizzazione doppi.

Casi d'uso emergenti e tensioni

I primi casi d'uso pratici stanno emergendo nei mesi successivi all'applicazione di settembre 2025. In agricoltura, John Deere e Claas devono ora fornire data export ai propri clienti agricoltori, che possono usare quei dati per training di modelli predittivi forniti da agritech europee. In automotive, le case automobilistiche europee discutono modelli di "data sharing pool" tra produttori per training di modelli di guida assistita su dataset condivisi più ampi di quanto ognuno potrebbe avere da solo. In smart manufacturing, le aziende che gestiscono fleet di macchinari di vendor multipli iniziano a chiedere conformità Data Act come requisito di procurement.

Le tensioni non mancano. I produttori industriali americani e giapponesi che vendono in Europa devono adeguarsi a obblighi che non esistono nei mercati domestici. La Commissione lavora su atti delegati e linee guida per ridurre ambiguità interpretative, e i primi contenziosi si concentrano su cosa esattamente costituisca un "prodotto connesso" e quali dati siano "ragionevolmente accessibili". Per l'Italia, dove il GDPR ha già lasciato tracce di compliance complessa, l'adeguamento al Data Act richiede coordinamento tra Garante Privacy, AgID e ministero competente — un cantiere normativo che durerà tutto il 2025-2026.

---