Il Regolamento Data Act (Regolamento (UE) 2023/2854) è entrato formalmente in vigore l’11 gennaio 2024 ed è pienamente applicabile da oggi, 12 settembre 2025. Scopo dichiarato: promuovere un uso più equo, trasparente e interoperabile dei dati generati da prodotti connessi (IoT), dispositivi, servizi digitali; rafforzare la posizione degli utenti nel controllare, usare, condividere i propri dati.
Parallelamente è entrato in vigore il regolamento sull’European Health Data Space (EHDS), che definisce norme specifiche per i dati sanitari, distinguendo tra utilizzi primari (cura, assistenza) e secondari (ricerca, regolamentazione, policy), potenziando interoperabilità, tutela del paziente, infrastrutture per lo scambio transfrontaliero.
Il Data Act non sostituisce il GDPR, ma si pone come norma complementare: regola l’accesso ai dati, la portabilità, la modalità in cui i dispositivi devono essere progettati per facilitare l’accesso. Il GDPR continua a dettare la disciplina per il trattamento dei dati personali, quindi dove questi dati s’intrecciano con l’uso sanitario, la protezione della privacy è centrale.
Lo scenario nel settore delle Life Science
Soggetti coinvolti
I soggetti direttamente coinvolti sono innanzitutto i produttori di dispositivi medici connessi, dai pacemaker alle pompe infusionali, dai sensori per il monitoraggio continuo ai wearable che raccolgono parametri clinici. Ma anche gli operatori sanitari e gli ospedali, che diventano utenti dei dati prodotti e, a loro volta, raccoglitori e gestori di informazioni cliniche da integrare nell’EHDS. Le aziende farmaceutiche e biotech sono interessate in particolare alla dimensione del Real-World Evidence, allo sviluppo di nuovi prodotti o servizi basati su dati reali e alla farmacovigilanza. A beneficiarne potrebbero essere anche ricercatori, start-up digitali e policy maker, tutti potenzialmente destinatari di dati sanitari anonimizzati o pseudonimizzati.
Cosa cambia concretamente
Il Data Act introduce novità di portata rilevante. Gli utenti, siano essi pazienti o strutture sanitarie, avranno il diritto di accedere gratuitamente ai dati d’uso generati dai dispositivi, purché disponibili senza sforzi sproporzionati, e di trasferirli a terzi. I produttori avranno l’obbligo di fornire informazioni chiare prima della conclusione del contratto sul tipo, sul formato e sulla portata dei dati che il dispositivo genera, compresi i metadati e le modalità di accesso. Dal 2026, inoltre, i prodotti connessi dovranno essere progettati in modo che l’accesso ai dati sia garantito di default, senza ostacoli tecnici. Infine, nei rapporti B2B, il trasferimento dei dati non personali potrà essere soggetto a compensazioni economiche, ma sempre a condizioni eque, ragionevoli e non discriminatorie.
Possibili conseguenze
Opportunità
Le opportunità sono molteplici. Sul piano dell’empowerment del paziente, il Data Act offre la possibilità di esercitare un controllo reale sui dati generati dai propri dispositivi, favorendo trasparenza e fiducia, ma anche una gestione più personalizzata delle cure. Per il settore, si apre una spinta all’innovazione: con un accesso più ampio ai dati, anche per uso secondario, aumentano le possibilità di ricerca clinica, di sviluppo di algoritmi predittivi e di applicazioni di intelligenza artificiale. L’interoperabilità e la standardizzazione, imposte dal regolamento, potranno ridurre la frammentazione dei sistemi e abbassare i costi di integrazione. Inoltre, la possibilità per l’utente di affidarsi a servizi di terze parti riduce il lock-in e stimola la concorrenza, creando spazi per nuovi modelli di business.
Criticità e rischi
Accanto ai benefici, si profilano criticità significative. In primo luogo, i costi di adeguamento: garantire accesso, sicurezza e interoperabilità richiederà investimenti consistenti, specialmente per i produttori di dispositivi. Sul fronte della privacy, le tensioni con il GDPR sono inevitabili: sarà necessario chiarire quando i dati debbano considerarsi personali, come proteggerli con tecniche di anonimizzazione e pseudonimizzazione e come gestire i rischi di reidentificazione. Non meno complessa è la sovrapposizione normativa, che vede il Data Act intrecciarsi con l’EHDS, il GDPR e le regole sui dispositivi medici, in un mosaico difficile da governare. A ciò si aggiunge il rischio che la condivisione di dati riveli segreti industriali o informazioni strategiche, con conseguenze per la proprietà intellettuale. Infine, il grado di digitalizzazione non uniforme tra Stati membri può generare disuguaglianze, con alcuni paesi pronti a beneficiare rapidamente della nuova normativa e altri in ritardo nell’implementazione.
Realismo vs aspettative
Mentre le intenzioni sono ambiziose, la traduzione pratica del Data Act resta complessa. I tempi per l’adeguamento, come la scadenza del 2026 per i dispositivi progettati in modalità “data access by default”, sono stretti e rischiano di mettere in difficoltà le aziende che non si sono mosse in anticipo. La qualità e la standardizzazione dei dati rappresentano un ulteriore ostacolo: l’accessibilità non basta, serve che le informazioni siano affidabili e integrate con sistemi sanitari spesso costruiti su architetture legacy. Anche la sostenibilità economica non è un dettaglio: resta da capire come i costi di conformità verranno ripartiti lungo la catena del valore. Infine, la fiducia dei pazienti sarà decisiva: senza garanzie solide di sicurezza e di uso etico dei dati, la disponibilità a condividerli potrebbe diminuire, minando l’intero impianto della normativa.
Implicazioni strategiche per aziende e operatori italiani
Per le imprese italiane attive nella filiera del farmaco e dei dispositivi medici, l’impatto del Data Act non è una questione marginale ma una sfida immediata. La conformità alle nuove regole implica la necessità di integrare i requisiti del regolamento nei processi di sviluppo prodotto, nella contrattualistica e nei modelli di servizio digitale. Non si tratta semplicemente di inserire un modulo in più o di adattare un contratto: sarà necessario ripensare l’intero ciclo di vita dei dispositivi, dalla progettazione alla manutenzione, per assicurare che l’accesso ai dati sia garantito by default e che la condivisione avvenga secondo criteri trasparenti e sicuri.
Questo scenario richiede investimenti consistenti in infrastrutture IT, sicurezza informatica e standard di interoperabilità, ma anche un cambiamento organizzativo significativo. Team legali, regolatori e di sviluppo prodotto dovranno lavorare in modo integrato per affrontare le sovrapposizioni tra Data Act, GDPR, EHDS e normativa sui dispositivi medici. Per chi saprà muoversi con rapidità, l’adeguamento normativo potrà trasformarsi in un vantaggio competitivo: offrire dispositivi già “Data Act-compliant” significherà distinguersi come player innovativo e affidabile, pronto a valorizzare al massimo il potenziale dei dati.
Scenari futuri
Guardando oltre la fase di implementazione, il Data Act apre scenari che possono trasformare in profondità l’ecosistema sanitario europeo. Una delle prospettive più promettenti riguarda la crescita dell’uso secondario dei dati: ricerca clinica, salute pubblica, sviluppo di intelligenze artificiali e valutazioni di policy potranno avvalersi di infrastrutture come HealthData@EU, destinate a facilitare un accesso sicuro e condiviso alle informazioni sanitarie. È verosimile che da questa nuova disponibilità emergeranno modelli di business inediti, basati su piattaforme di analisi dei dati clinici, servizi di manutenzione predittiva dei dispositivi e offerte digitali costruite su abbonamenti e servizi personalizzati.
Tuttavia, il quadro non è privo di complessità. L’interazione tra Data Act ed EHDS potrebbe accentuare le differenze tra i sistemi sanitari nazionali: i paesi con infrastrutture digitali più mature e con maggiore capacità di investimento si adatteranno più rapidamente, mentre altri rischiano di rimanere indietro. Al tempo stesso, l’attenzione dei regolatori europei sul rispetto dei diritti dei pazienti e sulla protezione dei dati lascia prevedere controlli stringenti e possibili sanzioni significative in caso di violazioni.
Il futuro del Data Act, quindi, si giocherà su un equilibrio delicato tra innovazione e tutela. Se da un lato la maggiore disponibilità di dati potrà alimentare un ecosistema competitivo e dinamico, dall’altro sarà la fiducia dei cittadini, unita alla capacità delle istituzioni di garantire un uso sicuro ed etico delle informazioni, a determinare la riuscita di questa trasformazione.
Il Data Act rappresenta un punto di svolta per la sanità digitale europea. Non è soltanto una norma, ma un driver di trasformazione che può favorire innovazione e nuovi modelli di cura. Le aziende pharma e medtech che sapranno muoversi per tempo potranno trasformare gli obblighi in opportunità, consolidando fiducia e valore. Ma la partita si giocherà sul terreno della compliance, della protezione dei dati e della capacità di costruire un ecosistema realmente interoperabile. La sfida è aperta: chi saprà coglierla sarà protagonista della nuova stagione dei dati in sanità.
