Il Capo VI del Data Act e la disciplina del passaggio tra servizi cloud: profili normativi e implicazioni operative

Contenuti

La libertà di cambiare fornitore cloud è stata, fino ad oggi, più un principio teorico che un diritto effettivo: il Capo VI del Regolamento (UE) 2023/2854 (Data Act) interviene proprio su questo punto nevralgico, configurandosi non come un regime normativo autonomo rispetto alla disciplina contrattuale dei servizi cloud, bensì come un livello di regolazione ulteriore che insiste sul medesimo rapporto giuridico e che, pertanto, deve necessariamente coesistere con essa in un quadro di reciproca integrazione. Il mercato dei servizi cloud è storicamente edificato su architetture proprietarie, formati non interoperabili e meccanismi economici che disincentivano strutturalmente l’uscita del cliente dall’ecosistema del fornitore. Il legislatore europeo, prendendo atto di tale situazione, ha inteso affrontare la questione mediante l’introduzione di obblighi normativi cogenti, imponendo ai fornitori la rimozione di ogni ostacolo – sia esso di natura commerciale, tecnica o contrattuale – che impedisca al cliente di esercitare effettivamente la propria libertà di scelta nel cambiare fornitore. Per i provider, ciò si traduce nella necessità di procedere a una revisione profonda e sistematica dei contratti, delle procedure di migrazione e dei modelli tariffari. Per i clienti, si apre invece uno spazio operativo inedito, nel quale la portabilità dei dati e la libertà di switching divengono diritti pienamente esigibili.

Il fenomeno del vendor lock-in nel mercato dei servizi cloud

Il legislatore europeo è partito, come emerge chiaramente dai considerando del Regolamento, da una constatazione di carattere eminentemente empirico: i meccanismi di autoregolamentazione fino ad allora incentivati non hanno prodotto gli effetti auspicati. Il Regolamento (UE) 2018/1807 aveva infatti incoraggiato i fornitori di servizi di trattamento dei dati a elaborare codici di condotta volti ad agevolare il passaggio tra diversi provider e la portabilità dei dati. Tuttavia, considerata la limitata diffusione dei quadri di autoregolamentazione effettivamente elaborati e la generale indisponibilità di interfacce e norme aperte, il Data Act ha ritenuto necessario, se non imprescindibile, adottare una serie di obblighi normativi minimi e cogenti. La risposta normativa è contenuta nel Capo VI, articoli da 23 a 31, che costruisce un sistema organico di diritti del cliente e correlati obblighi del fornitore, articolato su tre assi fondamentali: la dimensione contrattuale, quella economica e quella tecnica. È opportuno sottolineare, peraltro, che l’articolo 23 non si limita a vietare l’introduzione di nuovi ostacoli, bensì impone la rimozione attiva di quelli già esistenti, inclusi quelli già incorporati in contratti in corso di esecuzione.

L’ambito di applicazione del Capo VI presenta una portata significativamente ampia, estendendosi ai servizi IaaS (Infrastructure as a Service), PaaS (Platform as a Service) e SaaS (Software as a Service) – da Amazon Web Services a Microsoft Azure, da Google App Engine a Microsoft 365 – purché tali servizi siano offerti a clienti situati nell’Unione Europea, indipendentemente dal luogo di stabilimento del provider.

Gli obblighi di rimozione delle barriere allo switching: il cuore normativo del Capo VI

L’articolo 23 rappresenta, a tutti gli effetti, il perno normativo del Capo VI, poiché introduce un principio di portata autenticamente sistemica: la necessità di eliminare ogni ostacolo che impedisca o renda eccessivamente oneroso, per un cliente, il passaggio a un diverso fornitore di servizi di trattamento dei dati.

È di particolare rilievo osservare come il Data Act non si limiti a proclamare in via astratta un diritto allo switching, bensì individui con apprezzabile precisione le diverse tipologie di barriere che devono essere rimosse affinché tale diritto sia effettivamente esercitabile. Rientrano tra queste, in primo luogo, gli ostacoli di natura commerciale, precommerciale e contrattuale – quali penali sproporzionate per la risoluzione anticipata del contratto o clausole che complicano indebitamente la migrazione – nonché, in secondo luogo, gli ostacoli di natura tecnica e organizzativa, quali la mancanza di interoperabilità, l’uso di formati proprietari o procedure di esportazione inutilmente complesse e scarsamente trasparenti.

La rimozione di tali barriere è funzionale a garantire al cliente una piena libertà operativa. Il Regolamento mira, segnatamente, a perseguire plurimi obiettivi: consentire la migrazione verso infrastrutture TIC locali, assicurando così la possibilità di uscire integralmente dall’ecosistema cloud; permettere l’utilizzo simultaneo di servizi offerti da più fornitori, favorendo in tal modo l’adozione di modelli multicloud maggiormente flessibili e resilienti; garantire che il servizio di destinazione raggiunga un livello di equivalenza funzionale, evitando che la migrazione comporti una perdita significativa di capacità operative; e, infine, rendere possibile la disaggregazione dei singoli servizi di trattamento dei dati da pacchetti più ampi, ove tecnicamente fattibile, così da prevenire forme di lock‑in fondate sulla struttura commerciale dell’offerta.

L’obiettivo complessivo dell’articolo 23 è, dunque, quello di assicurare che il cliente possa realmente esercitare la propria libertà di scelta, potendo risolvere il contratto di servizio in essere, stipulare un nuovo accordo con un diverso provider e trasferire senza impedimenti i propri dati esportabili e le proprie risorse digitali. In tal senso, la norma non riveste una funzione meramente dichiarativa o programmatica, bensì ridisegna in modo sostanziale l’equilibrio del mercato dei servizi cloud, imponendo ai fornitori un obbligo attivo di rimuovere tutte le barriere che limitano la mobilità dei clienti.

La disciplina dei contratti cloud: le clausole contrattuali obbligatorie ai sensi dell’articolo 25

Il Data Act stabilisce, all’articolo 25, un insieme di contenuti minimi obbligatori che devono essere necessariamente presenti in ogni contratto di fornitura di servizi di trattamento dei dati. In primo luogo, il provider deve autorizzare espressamente il passaggio del cliente verso un altro servizio, garantendo il trasferimento dei dati esportabili entro un periodo transitorio che non può eccedere i trenta giorni di calendario dalla scadenza del termine di preavviso. Qualora, tuttavia, ciò risulti tecnicamente impossibile, il fornitore è tenuto a informare il cliente entro quattordici giorni lavorativi dalla richiesta, a motivare adeguatamente l’impossibilità e a indicare un periodo alternativo che non può in ogni caso superare i sette mesi; durante tale fase, deve comunque essere garantita la piena continuità del servizio.

Durante il periodo transitorio, il fornitore è altresì tenuto ad assicurare un’assistenza ragionevole al cliente, a mantenere la piena continuità operativa del servizio, a informare tempestivamente il cliente di eventuali rischi noti per la continuità del servizio medesimo e a garantire un elevato livello di sicurezza dei dati, tanto nella fase di trasferimento quanto in quella di conservazione.

Gli obblighi tecnici differenziati ai sensi dell’articolo 30

L’articolo 30 introduce obblighi tecnici differenziati in funzione della tipologia di servizio offerto. Per i servizi assimilabili all’IaaS, il provider di origine è tenuto ad adottare tutte le misure ragionevoli per permettere al cliente di raggiungere l’equivalenza funzionale nel servizio di destinazione, fornendo a tal fine le capacità, le informazioni, la documentazione, l’assistenza tecnica e gli strumenti pertinenti e necessari.

Per i servizi diversi da quelli di natura infrastrutturale – e segnatamente per i servizi PaaS e SaaS – il fornitore deve invece mettere a disposizione interfacce aperte e gratuite, accessibili a tutti i clienti e ai provider di destinazione interessati, così da agevolare concretamente la portabilità dei dati e l’interoperabilità tra servizi.

Il provider è inoltre tenuto a supportare attivamente la strategia di uscita del cliente, mettendo a disposizione tutte le informazioni pertinenti e necessarie per facilitare il processo di migrazione. È significativo rilevare che il termine di preavviso per avviare il processo di passaggio non può in alcun caso superare i due mesi.

Il contratto deve altresì indicare in modo dettagliato e analitico tutte le categorie di dati e le risorse digitali trasferibili, specificando eventuali esenzioni motivate dalla tutela di segreti commerciali; tali esenzioni sono ammissibili esclusivamente a condizione che non ostacolino di fatto il processo di migrazione.

Al termine del periodo transitorio, il cliente deve disporre di un periodo minimo di trenta giorni di calendario per recuperare i propri dati. Una volta completato con successo il processo di passaggio, il provider è obbligato a procedere alla cancellazione completa e irreversibile di tutti i dati esportabili e delle risorse digitali del cliente. Devono infine essere indicate con chiarezza le tariffe applicabili al passaggio, in conformità con quanto stabilito dall’articolo 29.

In assenza di tali elementi essenziali, i contratti attualmente in vigore risultano potenzialmente non conformi al quadro normativo introdotto dal Data Act. È per tale ragione che la revisione dei template contrattuali rappresenta oggi un’attività di primaria importanza e urgenza, tanto per i provider quanto per i clienti aziendali.

Il regime delle tariffe di passaggio: il percorso verso la gratuità

Il regime economico applicabile allo switching è disciplinato dall’articolo 29 del Data Act, il quale introduce un percorso di abolizione progressiva delle tariffe di passaggio, destinato a rimuovere in modo definitivo ogni barriera economica al cambio di fornitore. La logica sottesa è di natura graduale: a decorrere dal 12 settembre 2025, i provider sono tenuti a garantire una trasparenza completa su tutti i costi connessi allo switching e alla migrazione; dal 12 gennaio 2026 scatta il divieto di applicare penali per il cambio di fornitore e le tariffe per la migrazione devono essere ridotte al minimo strettamente indispensabile; infine, dal 12 gennaio 2027, lo switching diverrà integralmente gratuito, anche con riferimento ai contratti già in essere.

Alla data di giugno 2026, pertanto, il regime di piena gratuità non è ancora operativo. I fornitori possono dunque ancora addebitare costi di switching, ma esclusivamente nei limiti dei costi diretti effettivamente sostenuti per l’esecuzione della migrazione. La distinzione tra costo legittimo e tariffa impropria non è affatto meramente teorica: il Regolamento chiarisce, infatti, che le spese standard di servizio e le eventuali sanzioni proporzionate per la risoluzione anticipata di contratti a termine non costituiscono automaticamente tariffe di switching ai sensi della normativa. È ragionevole prevedere che proprio la definizione del perimetro dei costi ammissibili sia destinata a rappresentare uno dei principali terreni di contenzioso applicativo nei prossimi anni.

Le conseguenze operative e i profili di adeguamento

Il messaggio operativo che emerge dall’analisi del Capo VI è inequivocabile: la conformità al Data Act non si esaurisce nel mero aggiornamento dei template contrattuali, né tantomeno nell’adeguamento isolato delle tariffe di switching. La vera sfida si gioca, piuttosto, nel punto di contatto tra la struttura contrattuale, l’architettura tecnica del servizio e il modello di business del provider.

Per i fornitori di servizi cloud, il percorso di adeguamento impone, in primo luogo, la revisione sistematica di tutti i contratti standard al fine di verificare la presenza delle clausole obbligatorie previste dall’articolo 25; in secondo luogo, la mappatura accurata delle categorie di dati esportabili e delle eventuali esenzioni fondate sulla tutela dei segreti commerciali, con verifica che tali esenzioni non ostacolino di fatto il processo di passaggio; in terzo luogo, la definizione di procedure documentate per la gestione delle richieste di switching, ivi inclusa la comunicazione tempestiva in caso di impossibilità tecnica; e, infine, la predisposizione delle interfacce tecniche richieste dall’articolo 30, in funzione della specifica tipologia di servizio offerto.

Download Area
Scarica il PDF
Download
Data
Consulta i nostri professionisti