EVOLUZIONE/NOVITÀ
DI MARCO CALIANDRO, FEDERICO LOFFREDO | 11 DICEMBRE 2025
Il Data Governance Act e il Data Act rappresentano i due pilastri della nuova strategia europea per valorizzare i dati come infrastruttura abilitante dell’Intelligenza Artificiale. Mentre il primo promuove fiducia, interoperabilità e condivisione sicura attraverso intermediari certificati e spazi europei dei dati, il secondo ridisegna l’accesso ai dati generati da dispositivi, servizi e sistemi IoT, imponendo obblighi di portabilità, trasparenza e tutela dei segreti commerciali. Si analizzano le implicazioni congiunte di queste normative, mettendo in luce come esse trasformino la governance aziendale del dato, aprano nuove opportunità di utilizzo per l’AI e richiedano un ripensamento profondo dei modelli organizzativi, tecnologici e contrattuali delle imprese e degli studi professionali.
La strategia europea per i dati: un nuovo paradigma per l’AI
L’Unione Europea ha compreso che l’Intelligenza Artificiale non può esistere senza dati accessibili, interoperabili e affidabili. Per questo ha costruito un quadro normativo che non si limita a disciplinare l’AI, ma interviene a monte, sulle condizioni necessarie alla sua esistenza. Il Data Governance Act (DGA) e il Data Act formano la struttura portante di questa strategia. Entrambi i regolamenti mirano a creare un mercato europeo dei dati che favorisca innovazione, concorrenza e autonomia strategica, superando la frammentazione attuale. Si tratta di una trasformazione profonda del modo in cui i dati vengono generati, condivisi, governati e utilizzati, che condiziona direttamente lo sviluppo e la qualità dei sistemi di AI.
Il Data Governance Act: fiducia, interoperabilità e nuovi attori
Il DGA nasce con l’obiettivo di aumentare la circolazione dei dati pubblici e privati, ma sempre nel rispetto della riservatezza e dei diritti fondamentali. Introdurre più condivisione non significa deregolamentare, bensì creare un ambiente di fiducia attraverso nuovi meccanismi istituzionali. Nascono così i data intermediaries, soggetti accreditati che facilitano lo scambio sicuro dei dati tra imprese, cittadini e pubbliche amministrazioni, senza assumere un ruolo di titolarità né utilizzare i dati per finalità proprie. Il loro compito è garantire neutralità, trasparenza e sicurezza, creando condizioni giuridiche e tecniche che rendano possibile un uso dei dati rispettoso del GDPR.
Parallelamente, il regolamento promuove la creazione di European Data Spaces, ambienti settoriali — dalla sanità all’agricoltura, dalla mobilità all’energia — che consentono l’accesso a informazioni strutturate e standardizzate, superando le barriere nazionali e tecniche. Per l’AI questo significa la possibilità di operare su dataset più ampi, omogenei e affidabili, condizione indispensabile per migliorare la precisione degli algoritmi e ridurre bias e distorsioni.
Il Data Act: il diritto di accesso ai dati generati dalle cose
Se il DGA si concentra sulla governance e sulla fiducia, il Data Act interviene direttamente sulla disponibilità dei dati. Il regolamento riguarda soprattutto quei dati generati dall’uso di dispositivi connessi — macchinari industriali, veicoli intelligenti, domotica, sensori IoT — che finora erano spesso accessibili solo ai produttori. Il legislatore europeo ha scelto di riequilibrare questo rapporto, riconoscendo agli utenti un vero e proprio diritto di accesso e portabilità estesa.
Questa scelta ha conseguenze profonde. Le imprese che producono dispositivi dovranno progettare sistemi in grado di rendere disponibili i dati in formati interoperabili e facilmente trasferibili, mentre quelle che utilizzano tali dispositivi potranno accedere alle informazioni necessarie per sviluppare nuovi servizi o alimentare modelli di AI. Si passa così da un’economia chiusa, in cui i produttori controllano i dati generati dai loro prodotti, a un’economia aperta, in cui gli utilizzatori — siano essi imprese o consumatori — hanno diritto a sfruttare il valore informativo derivante dall’uso.
Il Data Act introduce, tuttavia, un equilibrio delicato: la portabilità non può tradursi in violazione dei segreti commerciali o in rischi per la sicurezza. Per questo impone garanzie tecniche, contrattuali e organizzative che le imprese dovranno implementare con attenzione.
Implicazioni per l’AI: qualità, disponibilità e responsabilità dei dati
I due regolamenti convergono nel creare un ecosistema in cui i dati sono non solo più accessibili, ma anche più affidabili. L’AI Act richiede, per i sistemi ad alto rischio, dataset rappresentativi, accurati, completi e privi di bias, ma il raggiungimento di tali requisiti presuppone un contesto in cui i dati siano disponibili e gestiti secondo criteri uniformi. DGA e Data Act operano esattamente in questa direzione. Grazie agli intermediari fiduciari e agli spazi europei dei dati, sarà più semplice reperire dataset di qualità, mentre i diritti di accesso previsti dal Data Act permetteranno alle imprese di non dipendere esclusivamente dai fornitori tecnologici per alimentare i propri sistemi.
Questa rinnovata disponibilità di dati comporta però una maggiore responsabilità. Le imprese e gli studi professionali dovranno adottare modelli interni di data governance che tengano conto delle nuove regole di accesso, dei vincoli contrattuali con i data holders, delle misure di protezione dei segreti commerciali, nonché degli obblighi imposti dal GDPR in materia di minimizzazione, finalità e sicurezza. L’AI non è un consumatore neutrale di dati: ogni informazione utilizzata introduce rischi di discriminazione, imprecisione o vulnerabilità che l’organizzazione deve saper governare.
Nuove competenze e nuovi modelli organizzativi
La rivoluzione normativa non è solo tecnica o giuridica; è anche culturale. Il Data Act e il DGA impongono alle imprese e ai professionisti un diverso approccio alla gestione delle informazioni. Non si tratta più di considerare i dati come sottoprodotto delle attività aziendali, ma come asset strategico, la cui qualità e accessibilità determinano la capacità di competere nel mercato dell’AI. Diventano centrali figure professionali come i data steward, i data protection officer, i responsabili per la qualità dei dati e, più in generale, team interdisciplinari capaci di tradurre le nuove norme in processi concreti.
Le organizzazioni saranno chiamate a riscrivere contratti, definire procedure di accesso, adottare standard di interoperabilità, rivedere l’architettura IT e soprattutto educare il personale a un uso consapevole e conforme dei dati. È un cambiamento profondo, che non può essere affrontato in modo episodico ma richiede investimenti strutturali.
Conclusioni: verso un mercato europeo dei dati al servizio dell’AI
Il Data Governance Act e il Data Act modificano radicalmente l’ambiente in cui l’AI opera. La loro importanza non sta soltanto nelle regole che introducono, ma nella visione che incarnano: creare un mercato unico dei dati che rafforzi la capacità competitiva dell’Europa e promuova uno sviluppo dell’AI rispettoso dei diritti e delle libertà fondamentali. In questo quadro, la disponibilità dei dati non è più un ostacolo, ma una condizione abilitante; la governance del dato non è più un compito tecnico, ma una funzione strategica; la conformità normativa non è più un vincolo, ma un fattore di fiducia.
Le imprese, gli enti pubblici e gli studi professionali che sapranno integrare DGA, Data Act e AI Act nei propri modelli operativi saranno in grado non solo di rispondere alle nuove sfide regolatorie, ma di cogliere appieno le opportunità di innovazione che derivano da un ecosistema digitale più aperto, più equo e più trasparente.
Il contenuto di questa newsletter è strettamente riservato e destinato esclusivamente ai destinatari autorizzati.
È espressamente vietata la condivisione totale o parziale di questa comunicazione su qualsiasi piattaforma pubblica o privata, inclusi (ma non limitati a):
• Gruppi e canali Telegram
• Chat di gruppo o broadcast su WhatsApp
• Post o storie su Facebook, Instagram, X (Twitter), LinkedIn, o altri social network.
Ogni violazione di questa norma potrà comportare l’esclusione immediata dalla lista dei destinatari e, nei casi più gravi, azioni legali.