L'EU Data Act: cosa significa per la Sua azienda

L’EU Data Act, entrato in vigore nel gennaio 2024 e applicabile da settembre 2025, rappresenta uno dei più significativi atti legislativi sui dati dopo il GDPR. Sebbene gran parte del dibattito pubblico si sia concentrata sulle sue implicazioni per i produttori IoT e sui diritti di cambio di fornitore cloud, l’atto ha conseguenze profonde su come le aziende europee selezionano e governano la propria infrastruttura di collaborazione.

Cosa richiede effettivamente il Data Act

Al suo nucleo, il Data Act stabilisce regole su chi può accedere e utilizzare i dati generati dai prodotti connessi e dai servizi correlati. Per le piattaforme di collaborazione aziendale, diverse disposizioni sono particolarmente rilevanti.

In primo luogo, l’atto sancisce il diritto di passare da un fornitore di servizi cloud a un altro senza indebito ritardo, costi eccessivi o perdita di dati. Ciò significa che le organizzazioni devono poter estrarre i propri dati — messaggi, file, registrazioni di chiamate, metadati — da una piattaforma e migrarli a un’altra. I fornitori che bloccano i clienti attraverso formati di dati proprietari o barriere artificiali all’esportazione si troveranno dalla parte sbagliata della regolamentazione.

In secondo luogo, l’atto introduce salvaguardie contro i trasferimenti internazionali illegali di dati. L’articolo 27 richiede esplicitamente ai fornitori di servizi cloud di adottare misure tecniche, legali e organizzative ragionevoli per prevenire l’accesso di governi a dati non personali detenuti nell’UE laddove tale accesso sia in conflitto con il diritto UE. Questa disposizione affronta direttamente la tensione creata dall’EU CLOUD Act statunitense, che consente alle autorità americane di richiedere dati alle aziende statunitensi indipendentemente da dove siano archiviati.

In terzo luogo, l’atto impone requisiti di interoperabilità per i servizi di elaborazione dei dati, ponendo le basi affinché i clienti possano utilizzare più servizi in combinazione senza barriere artificiali.

Perché questo è importante per gli strumenti di collaborazione

Si consideri il tipico stack di collaborazione aziendale: videoconferenze, messaggistica, condivisione di file e, sempre più, funzionalità basate su IA come trascrizione e sintesi. Questi strumenti elaborano enormi volumi di dati sensibili — discussioni strategiche, questioni di personale, deliberazioni finanziarie, consulenza legale, proprietà intellettuale.

Ai sensi del Data Act, le organizzazioni hanno la responsabilità di garantire che i propri fornitori di collaborazione possano dimostrare di rispettare le salvaguardie sulla protezione dei dati. Questo va oltre il semplice spuntare una casella in un modulo di valutazione del fornitore. Richiede di comprendere la giurisdizione legale del fornitore, la sua architettura tecnica per l’isolamento dei dati e la sua capacità di resistere alle richieste di accesso di governi stranieri.

Per molte organizzazioni europee, ciò crea una resa dei conti scomoda. Le piattaforme di collaborazione dominanti sono gestite da aziende con sede negli Stati Uniti. Indipendentemente da dove collochino i propri data center, queste aziende rimangono soggette all’EU CLOUD Act e ad altri strumenti legali statunitensi che possono imporre la divulgazione.

La checklist pratica per la conformità

Sulla base della nostra lettura dell’atto e delle conversazioni con i team di conformità di aziende europee, ecco cosa le organizzazioni dovrebbero valutare nei propri strumenti di collaborazione.

Portabilità dei dati. Può esportare tutti i Suoi dati — messaggi, file, metadati, directory utenti, registrazioni di chiamate — in formati standard e documentati? Esiste un’API per l’estrazione automatica? Cosa succede ai Suoi dati se rescinde il contratto?

Chiarezza giurisdizionale. Dove è costituito il fornitore? Quale giurisdizione legale governa il servizio? Un governo straniero potrebbe costringere il fornitore a consegnare i Suoi dati? Esiste una struttura societaria che potrebbe creare una giurisdizione straniera indiretta?

Salvaguardie tecniche. La piattaforma offre crittografia end-to-end? Se sì, chi detiene le chiavi? Può portare le proprie chiavi di crittografia? L’architettura di crittografia è documentata e verificabile?

Sovranità infrastrutturale. Dove risiedono fisicamente i dati? Chi gestisce l’infrastruttura cloud sottostante? Il provider cloud stesso è soggetto a giurisdizione straniera?

Costi di switching. Cosa servirebbe per migrare a una piattaforma alternativa? Esistono penalità contrattuali? Il fornitore supporta protocolli e formati standard?

Interoperabilità. La piattaforma può integrarsi con altri strumenti nel Suo stack senza lock-in proprietario? Supporta standard aperti?

Come Mandraki affronta questi requisiti

Abbiamo costruito Mandraki tenendo presente fin dall’inizio i principi del Data Act, non come adattamento successivo.

Tutti i dati risiedono su un iperscalatore di proprietà europea soggetto esclusivamente alla giurisdizione UE. Mandraki stessa è un’azienda europea senza società madre o controllata statunitense. La nostra architettura di crittografia a tre strati, incluso il supporto Bring Your Own Key, garantisce che le organizzazioni mantengano il controllo crittografico sui propri dati. L’esportazione completa dei dati è disponibile tramite API documentate. E il nostro protocollo di federazione tra organizzazioni è costruito su standard aperti e documentati.

Non sosteniamo che la conformità sia mai semplice. Il panorama normativo è complesso e in evoluzione. Ma crediamo che partire dalle giuste fondamenta architetturali e giurisdizionali renda la conformità realizzabile piuttosto che aspirazionale.

Guardando avanti

Il Data Act fa parte di una più ampia strategia digitale europea che include l’AI Act, il Digital Markets Act, il Digital Services Act, NIS2 e DORA. Insieme, queste normative stanno ridefinendo le aspettative poste sui fornitori di tecnologia che operano in Europa.

Per le organizzazioni europee, il messaggio è chiaro: gli strumenti utilizzati per la collaborazione quotidiana non sono più solo una decisione di approvvigionamento IT. Sono una decisione di conformità, una decisione di gestione del rischio e, sempre più, una decisione strategica sull’autonomia digitale.

La buona notizia è che l’ecosistema tecnologico europeo sta maturando rapidamente. È disponibile infrastruttura cloud sovrana. Esistono strumenti di collaborazione conformi. La via da seguire non richiede di aspettare che i fornitori americani si adattino alle regole europee. Richiede di scegliere soluzioni europee costruite fin dall’inizio per esse.