Gli impatti del Data Act UE sulla compliance nei settori altamente regolamentati

Gli impatti del Data Act UE sulla compliance nei settori altamente regolamentati

22 ottobre 2025

di Martino ARACRI

Il Regolamento UE 2023/2854 – il cosiddetto Data Act – rappresenta una svolta per la gestione, l’accessibilità e la condivisione dei dati nei settori altamente regolamentati del continente europeo. 

A poche settimane del via dell’applicabilità degli obblighi introdotti nell’UE del documento, è utile approfondire le principali novità introdotte dal regolamento, le implicazioni operative per la compliance e le sfide che le aziende dovranno affrontare per garantire trasparenza, sicurezza e competitività nel nuovo scenario europeo dei dati.

Data Act UE: quadro normativo e principi chiave

Il cosiddetto Data Act (Regolamento UE 2023/2854), pubblicato sulla Gazzetta Ufficiale dell’Unione Europea il 22 dicembre 2023 e i cui obblighi sono applicabili dallo scorso 12 settembre, si inserisce come tassello fondamentale nella strategia europea per la creazione di un mercato unico dei dati. 

L’obiettivo dichiarato di questo testo normativo è quello di favorire un utilizzo più efficiente, equo e sicuro dei dati generati nell’Unione, promuovendo la competitività, l’innovazione e la sovranità digitale europea.

Il regolamento si applica a una vasta gamma di soggetti, tra cui aziende che forniscono prodotti o servizi connessi, enti pubblici, PMI e operatori dei settori finanziario, assicurativo, sanitario, energetico e manifatturiero. 

Le principali novità riguardano:

  • accesso e condivisione dei dati: il Data Act introduce il diritto per gli utenti finali di accedere ai dati generati dai dispositivi e servizi che utilizzano, obbligando i fornitori a garantire portabilità e interoperabilità;
  • obblighi di trasparenza: le aziende devono informare chiaramente gli utenti sulle modalità di raccolta, utilizzo e condivisione dei dati, specificando chi può accedervi e per quali finalità;
  • nuove regole sui data holder: chi detiene dati (data holder) è tenuto a metterli a disposizione di terzi in modo equo, ragionevole e non discriminatorio, anche in caso di richiesta da parte di enti pubblici per finalità di interesse generale;
  • clausole contrattuali e protezione delle PMI: il regolamento mira a riequilibrare i rapporti contrattuali tra grandi player e PMI, vietando clausole abusive e imponendo condizioni trasparenti per l’accesso ai dati.
  • sicurezza e riservatezza: vengono rafforzati gli obblighi di sicurezza nella gestione dei dati, con particolare attenzione alla protezione delle informazioni sensibili e alla prevenzione di accessi non autorizzati.

Gli obblighi introdotti dal Data Act sono applicabili dal 12 settembre 2025, ma molte aziende avevano già avviato un percorso di adeguamento nei mesi precedenti, ripensando policy interne, contratti e processi di governance dei dati.

Impatti operativi sulla compliance nei settori regolamentati

Per le istituzioni finanziarie e gli operatori dei settori regolamentati, il Data Act rappresenta una vera e propria rivoluzione nella gestione della compliance, nonché dei processi aziendali legati alla raccolta e al trattamento dei dati. 

Le principali implicazioni riguardano:

  • la riorganizzazione dei flussi informativi: come già previsto dal GDPR, le aziende dovranno continuare a mappare con precisione le fonti di dati, i processi di raccolta, conservazione e condivisione, garantendo la tracciabilità di ogni operazione, ma il Data Act ha esteso tali obblighi anche ai dati non personali, rispetto ai quali sarà necessario aggiornare i registri dei trattamenti e predisporre procedure per rispondere alle richieste di accesso e portabilità avanzate dagli utenti o da terzi autorizzati;
  • l’adeguamento delle policy di sicurezza: il rafforzamento degli obblighi di sicurezza richiede una revisione delle misure tecniche e organizzative, con particolare attenzione alla segmentazione degli accessi, alla crittografia dei dati e alla gestione degli incidenti, e le aziende dovranno dimostrare di aver adottato controlli efficaci per prevenire data breach e garantire la riservatezza delle informazioni;
  • la gestione delle richieste da enti pubblici: il Data Act prevede che, in casi specifici (ad esempio, emergenze pubbliche o finalità di interesse generale), le autorità possano richiedere l’accesso a dati detenuti da operatori privati, e le aziende dovranno strutturare processi per valutare la legittimità delle richieste, documentare le risposte e assicurare la conformità alle tempistiche e alle modalità previste dal regolamento;
  • i nuovi obblighi contrattuali: i rapporti con partner, fornitori e clienti dovranno essere rivisti alla luce delle nuove regole su accesso, condivisione e utilizzo dei dati, e particolare attenzione dovrà essere riservata alla redazione di clausole che tutelino le PMI e prevengano squilibri contrattuali;
  • Formazione e cultura della compliance: l’adeguamento al Data Act non può prescindere da un investimento nella formazione continua del personale, affinché tutti i soggetti coinvolti comprendano le nuove responsabilità e sappiano riconoscere e gestire i rischi derivanti dalla gestione dei dati.

Non bisogna inoltre dimenticare che il Data Act si affianca e si integra con altre normative europee in materia di privacy e resilienza digitale, come il GDPR, il Regolamento DORA(1) e la Direttiva NIS2, dando vita a un ecosistema regolamentare sempre più articolato, in cui la compliance diventa leva strategica per la competitività e la fiducia del mercato.

Le tre sfide chiave: governance, interoperabilità e cultura dei dati

Nel percorso di adeguamento al Data Act, le aziende – soprattutto quelle che operano in settori altamente regolamentati – dovranno affrontare tre sfide principali, individuate dagli esperti come determinanti per il successo della compliance.

1. Rafforzare la data governance
L’introduzione di nuovi diritti di accesso e condivisione impone una governance dei dati ancora più ampia rispetto agli obblighi già introdotti a suo tempo dal GDPR. È fondamentale infatti adottare modelli organizzativi chiari, con ruoli e responsabilità ben definiti, e investire in strumenti di data management capaci di garantire qualità, integrità e disponibilità delle informazioni, anche per quanto riguarda i dati non personali. La mappatura dei dati e la definizione di policy di accesso rimangono elementi chiave per prevenire abusi e garantire la conformità, ma la sfera degli obblighi introdotta dal Data Act riguarda una quantità di dati ancora più estesa.

2. Garantire l’interoperabilità e la portabilità dei dati
Il Data Act promuove la creazione di mercati dei dati aperti e interoperabili. Le aziende dovranno adeguare i propri sistemi per consentire la portabilità dei dati tra piattaforme diverse, adottando standard tecnici condivisi e assicurando la compatibilità con partner e fornitori. L’interoperabilità non è solo un obbligo normativo, ma una leva per favorire l’innovazione, la collaborazione e la creazione di nuovi servizi a valore aggiunto.

3. Sviluppare una cultura aziendale orientata al dato
L’efficacia della compliance dipende dalla capacità di coinvolgere tutte le funzioni aziendali in una cultura della responsabilità e della valorizzazione del dato. Occorrerà promuovere la consapevolezza sui rischi e le opportunità legati alla gestione dei dati, favorendo la collaborazione tra compliance, IT, legal, risk management e business. La formazione e la comunicazione interna sono strumenti essenziali per tradurre gli obblighi normativi in comportamenti virtuosi e sostenibili.

Appare dunque evidente come Data Act segni una nuova era per la compliance nei settori altamente regolamentati: trasparenza, sicurezza e condivisione dei dati diventano requisiti imprescindibili per operare nel mercato europeo. 

E le aziende che sapranno anticipare le sfide, investire in governance, interoperabilità e cultura del dato potranno trasformare la compliance da vincolo a motore di innovazione e crescita sostenibile.

Queste aziende saranno verosimilmente anche quelle che si doteranno in tempo utile di strumenti tecnologici creati su misura per gestire la compliance, incluse le soluzioni basate sull’Intelligenza Artificiale capaci di ottimizzare il monitoraggio normativo, l’analisi degli impatti, la strutturazione di strategie di compliance e la creazione automatizzata di corsi di formazione sulla conformità alla luce delle novità normative.

Intervento di Martino ARACRI | LinkedIn, Compliance Advocate, Aptus.AI. Società Partner con Risk & Compliance.

Aptus.AI è la startup italiana che rende la legge digitalmente accessibile, automatizza l’analisi normativa e ottimizza i processi di compliance per il settore finanziario.

Il software RegTech di Aptus.AI presenta una serie di funzioni uniche per i team compliance e, grazie al suo formato proprietario e brevettato machine-readable, consente sia di ricevere istantaneamente le informazioni legali di interesse con una chat di Generative AI sia di ottenere analisi di impatto automatiche, per poter prendere decisioni strategiche proattive.

Per approfondimenti, consultare i seguenti link e/o riferimenti:

(1) E. De Falco, L. Sidoti (2025), Restano pochi giorni per adeguarsi al regolamento DORA: come ottimizzare il recepimento della norma grazie all’AI, Risk & Compliance Platform Europe, www.riskcompliance.it

Related Items

Aptus.Al lancia il suo nuovo assistente IA, una rivoluzione nella compliance e nel settore legaleAptus.Al lancia il suo nuovo assistente IA, una rivoluzione nella compliance e nel settore legale
Continua a leggere
Credit Risk Scoring Automatizzato: un delicato equilibrio tra algoritmi di intelligenza artificiale e fattore umanoCredit Risk Scoring Automatizzato: un delicato equilibrio tra algoritmi di intelligenza artificiale e fattore umano
Continua a leggere
La Legge 132/2025 sull’intelligenza artificiale: impatti e prospettive sulla responsabilità da reato di persone fisiche ed entiLa Legge 132/2025 sull’intelligenza artificiale: impatti e prospettive sulla responsabilità da reato di persone fisiche ed enti
Continua a leggere

Lascia un Commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono segnati con *