Il problema, in breve
Il Digital Omnibus — il pacchetto normativo con cui Bruxelles sta razionalizzando le regole digitali dell'UE — spinge nella stessa direzione da anni: più condivisione, più portabilità, meno silos. Un obiettivo legittimo, ma con un effetto collaterale che molte imprese non hanno ancora messo a fuoco: ogni obbligo di data sharing è una finestra in più da cui può uscire il know-how che non si è scelto o che non si può brevettare.
Il pacchetto comprende due testi principali: uno che interviene sulle regole esistenti in materia di dati, cybersicurezza e privacy (il digital acquis), ancora in negoziato; e uno sull'intelligenza artificiale, su cui è stato raggiunto un accordo politico provvisorio il 7 maggio 2026. Le date di pubblicazione ufficiale restano soggette al completamento del processo formale.
Cosa cambia concretamente
Le modifiche al digital acquis più rilevanti per chi gestisce informazioni sensibili:
Dati pubblici e grandi operatori. Le pubbliche amministrazioni potranno applicare condizioni speciali alle Very Large Enterprises e ai gatekeeper DMA che riusano dati pubblici, per evitare che l'accesso privilegiato ai dati consolidi posizioni già dominanti.
Intermediari dati. Il regime obbligatorio del Data Governance Act diventerebbe volontario, con requisiti di separazione più leggeri. Più attori nella catena, più punti di contatto.
Cloud switching. Regimi semplificati per alcune categorie, ma con salvaguardie esplicite su trade secrets e rischi di esposizione verso giurisdizioni terze.
Smart contract per il data sharing. Eliminati i requisiti essenziali dell'art. 36 del Data Act: meno vincoli tecnici, più peso alla governance contrattuale.
Il punto di partenza: il Data Act
Già in vigore dal 12 settembre 2025, il Data Act dà agli utenti di dispositivi connessi il diritto di far condividere i propri dati con terze parti. Per i produttori, questo espone un perimetro delicato: i dati possono contenere logiche operative, parametri di configurazione, prestazioni, tutto ciò che compone il know-how senza mai essere stato etichettato come tale. E il Data Act disapplica la protezione sui generis sui database in questo contesto, spostando il peso della tutela verso i segreti commerciali.
Pensiamo ad un caso concreto. Un produttore di impianti industriali connessi riceve da un cliente la richiesta di condividere 18 mesi di log operativi con un fornitore di manutenzione indipendente che è concorrente diretto del suo servizio post-vendita. Quei log contengono parametri di calibrazione e sequenze di controllo sviluppate in anni di R&D, mai brevettate. Il Data Act non ammette un rifiuto generalizzato, ma consente al produttore di richiedere misure tecniche proporzionate prima di condividere (art. 4, par. 6): NDA con clausola anti-reverse-engineering, dati sensibili solo in forma aggregata, divieto contrattuale di usare i dati per sviluppare servizi concorrenti (art. 6, par. 2, lett. e). Se il terzo rifiuta le misure, il produttore può bloccare la condivisione, ma deve motivarlo per iscritto e notificare l'autorità competente. Questi due passi non sono facoltativi: sono la condizione formale perché il rifiuto sia legittimo.
Il Regolamento prevede anche la possibilità di rifiutare la condivisione quando essa renderebbe altamente probabile un serio danno economico. La soglia è alta, e il problema pratico è che quel danno va dimostrato prima che la divulgazione avvenga, su dati che non sono ancora usciti. Chi non ha documentato il valore dei propri segreti si troverà senza argomenti nel momento in cui servono.
La novità del Digital Omnibus: il fattore giurisdizionale
Se approvata nella forma proposta, la modifica al Data Act introdurrebbe una nuova base di rifiuto alla condivisione: il rischio di acquisizione illecita da parte di soggetti operanti in Paesi terzi con tutele insufficienti o con tutele formalmente equivalenti ma prive di enforcement reale.
È un cambiamento di prospettiva concreto. Oggi molti leak non nascono da attacchi informatici o dipendenti infedeli: nascono dal fatto che un dato condiviso legittimamente arriva a un destinatario corretto, che però opera in una giurisdizione dove un'autorità locale può richiedergli di divulgarlo e dove ottenere un'ingiunzione è lento o impossibile. Il segreto si perde per struttura sistemica, non per dolo. La proposta prova a trasformare questa asimmetria in una leva giuridica: il rifiuto è legittimo, ma deve essere motivato per iscritto e notificato all'autorità competente.
Cinque cose da fare adesso
Mappare i dati in senso competitivo. Non ai fini GDPR: quali dataset, se analizzati, rivelano processi o logiche proprietarie? Quali rientrano nel perimetro del Data Act?
Costruire un trade secret registry. Un segreto commerciale esiste se è non noto, ha valore economico proprio perché segreto, ed è protetto con misure ragionevoli. NDA, controlli di accesso, audit log, policy interne: tutto documentato e aggiornato.
Strutturare la risposta alle richieste di data sharing. Serve un processo, non una valutazione caso per caso. Con criteri chiari su quando opporre un rifiuto, come motivarlo e come notificarlo.
Fare l'assessment giurisdizionale dei flussi dati. Chi riceve i dati? Dove opera? Dove sono i suoi sub-fornitori? Qual è l'enforcement reale in quelle giurisdizioni?
Monitorare l'iter normativo. Il Digital Omnibus per il digital acquis cambierà. Chi lavora con dati sensibili deve sapere come, e quando.
* * *
La direzione del Digital Omnibus non cambierà: più circolazione, più portabilità. Ma le imprese che hanno costruito il loro vantaggio su dati e processi non brevettati non possono aspettare che la normativa si stabilizzi. Il segreto che resiste è quello che è già stato strutturato come tale prima che qualcuno chieda di condividerlo.
