Data Act: piena efficacia dal 12 settembre 2025. Cosa devono fare le aziende?

Il 12 settembre 2025 diventa pienamente efficace il Regolamento UE 2023/2854 (cosiddetto Data Act).

Il nuovo regolamento si applica anche al settore Medical Device, in tutti i casi in cui  il dispositivo  raccolga o generi dati relativi al suo utilizzo e sia in grado di trasmettere tali dati: sia cioè un “prodotto connesso”.

In questo caso il titolare dei dati (quasi sempre il fabbricante) dovrà rendere tali dati accessibili all’Utente, il quale potrà anche chiedere di trasmetterli a terzi.

Si tratta di un regolamento molto impattante che introduce il principio dell' "accessibilità by design e by default" a favore di strutture sanitarie e pazienti.

Cosa devono dunque fare le aziende?
Senza dubbio intraprendere alcune azioni immediate per prepararsi alla piena efficacia del Data Act, quali:

1. Audit completo per valutare quali dei loro dispositivi medici sono prodotti connessi
2. Identificazione gap di conformità ai fini della accessibilità
3. Revisione, se del caso, dell’architettura tecnica per implementare l’accesso by design
4. Aggiornamento, se del caso, dei processi di sviluppo prodotto per includere requisiti Data Act
5. Definizione dei processi di accesso ai dati nel caso non sia possibile l’accesso diretto
6. Processo per l’identificazione quale Utente, del soggetto che chiede l’accesso
7. Determinazione di  quali dati possono essere considerati protetti da segreto industriale ex Dir 2016/943
8. Definizione dei processi per la protezione delle informazioni considerate “segrete”
9. Revisione di tutti i contratti e/o procedure per adempiere obbligo informativo
10. Revisione di tutti i contratti per eliminazione di clausole abusive (ove esistenti)
11. Formazione del personale  dedicato alla gestione obblighi e diritti degli Utenti
12. Procedure per collaborazione con autorità competenti, se del caso