Data Act: piena efficacia dal 12 settembre 2025. Cosa devono fare le aziende?

Il 12 settembre 2025 diventa pienamente efficace il Regolamento UE 2023/2854 (cosiddetto Data Act).
Il nuovo regolamento si applica anche al settore Medical Device, in tutti i casi in cui il dispositivo raccolga o generi dati relativi al suo utilizzo e sia in grado di trasmettere tali dati: sia cioè un “prodotto connesso”.
In questo caso il titolare dei dati (quasi sempre il fabbricante) dovrà rendere tali dati accessibili all’Utente, il quale potrà anche chiedere di trasmetterli a terzi.
Si tratta di un regolamento molto impattante che introduce il principio dell' "accessibilità by design e by default" a favore di strutture sanitarie e pazienti.
Cosa devono dunque fare le aziende?
Senza dubbio intraprendere alcune azioni immediate per prepararsi alla piena efficacia del Data Act, quali:
- Audit completo per valutare quali dei loro dispositivi medici sono prodotti connessi
- Identificazione gap di conformità ai fini della accessibilità
- Revisione, se del caso, dell’architettura tecnica per implementare l’accesso by design
- Aggiornamento, se del caso, dei processi di sviluppo prodotto per includere requisiti Data Act
- Definizione dei processi di accesso ai dati nel caso non sia possibile l’accesso diretto
- Processo per l’identificazione quale Utente, del soggetto che chiede l’accesso
- Determinazione di quali dati possono essere considerati protetti da segreto industriale ex Dir 2016/943
- Definizione dei processi per la protezione delle informazioni considerate “segrete”
- Revisione di tutti i contratti e/o procedure per adempiere obbligo informativo
- Revisione di tutti i contratti per eliminazione di clausole abusive (ove esistenti)
- Formazione del personale dedicato alla gestione obblighi e diritti degli Utenti
- Procedure per collaborazione con autorità competenti, se del caso