Al fine di facilitare l'adozione di contratti equi, trasparenti e interoperabili nel mercato europeo dei dati, il 19 novembre 2025 la Commissione europea ha pubblicato, in attuazione del mandato contenuto nell'art. 41 Reg. UE 2023/2854 (Data Act), una  Raccomandazione ​sulle clausole contrattuali tipo non vincolanti per l'accesso e l'utilizzo dei dati e sulle clausole contrattuali standard per i servizi di elaborazione dei dati.

Le clausole raccomandate non sono di per sé vincolanti e sono redatte in modo tale da poter essere adattate alle esigenze contrattuali delle parti. Tuttavia, la Commissione ne incoraggia un utilizzo diffuso e integrale affinché possano diventare un modello comune per le imprese nel mercato europeo e un riferimento interpretativo per i giudici, nonché per le autorità competenti e gli organismi di risoluzione delle controversie che, come previsto nel considerando 55 del Data Act, dovrebbero tener conto di tali clausole al fine di assicurare l'uniforme applicazione del regolamento.

Più in dettaglio, la Commissione mette a disposizione due principali modelli di clausole.

A. Clausole contrattuali tipo relative all'accesso e all'utilizzo dei dati (MTCs)

Le MTCs sono articolate nelle seguenti quattro tipologie, corrispondenti ai diversi scenari di condivisione dei dati previsti dal Data Act (cfr. in particolare, capi II, III e IV):

• MTCs per i contratti tra titolari dei dati (data holders) e utenti (users) di prodotti connessi o servizi correlati (Allegato II) – tali clausole disciplinano i diritti e gli obblighi delle parti in relazione all'accesso e all'uso dei dati generati dall'utilizzo del prodotto connesso/servizio correlato, coprendo numerosi aspetti, quali: le tipologie di dati accessibili; le finalità per cui il data holder può utilizzare i dati o condividerli con terzi; le modalità di accesso; le limitazioni all'utilizzo dei dati da parte dell'utente; le misure per la tutela dei trade secrets e le altre misure di protezione che possono essere adottate dal titolare dei dati; l'eventuale compenso equo e ragionevole se previsto;
• MTCs per i contratti tra utenti (users) e destinatari dei dati (data recipients) (Allegato III), nell'ipotesi, prevista dall'art. 5 del Data Act, in cui l'utente di un prodotto connesso/servizio correlato chieda al titolare di mettere i dati a disposizione di un terzo (es. un fornitore di servizi di riparazione o manutenzione, una compagnia assicurativa ecc.). Le MTCs disciplinano, in particolare, le finalità per cui il destinatario dei dati può utilizzarli o condividerli, a sua volta, con terzi;
• MTCs per contratti tra titolari dei dati (data holders) e terzi destinatari dei dati (data recipients), in relazione al caso in cui, su richiesta dell'utente di un prodotto connesso/servizio correlato ai sensi dell'art. 5 del Data Act, il titolare ha l'obbligo di mettere i dati a disposizione di un terzo indicato dall'utente (Allegato IV). Oltre alla verifica della legittimità della richiesta e della qualificazione del destinatario, le MTCs disciplinano le caratteristiche dei dati e le modalità di accesso da parte del data recipient, le misure a tutela dei trade secrets che il titolare dei dati può adottare, le finalità e le condizioni alle quali il destinatario può utilizzare i dati o condividerli con terzi, nonché il compenso per la messa a disposizione dei dati.
• MTCs per contratti tra data sharers e data recipients di condivisione volontaria dei dati (Allegato V) – tali MTCs, che si adattano a molteplici scenari contrattuali e potranno assumere rilievo soprattutto nel contesto degli spazi comuni europei di dati, riguardano i casi in cui i dati sono condivisi dalle imprese su base volontaria, al di fuori di specifici obblighi giuridici derivanti dal Data Act o da altre normative dell'UE o nazionali.

B. Clausole contrattuali standard per i servizi di cloud computing (SCCs)

Per i servizi di cloud computing, in linea con l'obiettivo del Data Act di garantire il diritto del cliente di cambiare fornitore o di utilizzare in parallelo i servizi di fornitori diversi (strategie multi-cloud), la Raccomandazione prevede un insieme di clausole standard modulari che coprono i seguenti specifici aspetti:

• Switching & Exit (Allegato VI) – le SCCs traducono in condizioni contrattuali i diritti e gli obblighi del Data Act relativi al passaggio ad un altro fornitore (switching) e al connesso trasferimento dei dati. Al riguardo, la Commissione propone SCCs specifiche per due possibili approcci al processo di switching, a seconda, cioè, che le parti predispongano (prima della conclusione del contratto) un piano dettagliato per la procedura di migrazione oppure che il cliente utilizzi per lo switching strumenti automatizzati self-service. Tali SCCs sono, in via generale, applicabili a tutte le tipologie di contratti di servizi cloud (i.e. IaaS, PaaS e SaaS).
• Termination (Allegato VII) – le SCCs raccomandate in questa sezione disciplinano i diversi scenari di cessazione del contratto, che in genere si considera terminato automaticamente al completamento con successo del processo di switching, oppure una volta avvenuta la cancellazione dei dati, se il cliente non desidera passare ad un altro fornitore. Le SCCs prevedono una collaborazione attiva e in buona fede tra le parti per favorire il completamento con successo del processo di switching;
• Security and Business Continuity (Allegato VII) – le SCCs riguardano gli aspetti relativi alla sicurezza e alla continuità operativa durante il processo di migrazione. Viene adottato un approccio risk-based che implica una valutazione dinamica dei rischi, in relazione a diversi spetti quali, ad esempio, l'integrità dei dati durante il trasferimento, la resilienza rispetto alle vulnerabilità note, la verifica delle credenziali di accesso, la sicurezza della piattaforma e delle relative interfacce di programmazione (API).
• Non-dispersion (allegato IX) – al fine di aumentare la trasparenza e ridurre le asimmetrie informative tra fornitore e cliente durante il processo di switching, le SCCs prevedono che tutta la documentazione contrattuale rilevante sia accessibile da un'unica posizione online dedicata e sicura e resa disponibile in un formato comprensibile, sia human-readable che machine-readable.
• Liability (Allegato X) – le SCCs delineano un regime di responsabilità illimitata per le violazioni degli obblighi contrattuali in caso di dolo o colpa grave, incluse la violazione di obblighi di confidenzialità o l'utilizzo dei dati per finalità diverse da quelle concordate. Le SCCs prevedono tre principali modelli alternativi di limitazione della responsabilità, fondati su: i) una valutazione periodica dei rischi; ii) l'ammontare dei danni diretti; iii) un massimale predeterminato dalle parti.
• Non-amendment (Allegato XI) – le SCCs delineano un regime in materia di modifiche contrattuali incentrato sul divieto di modifiche unilaterali e l'identificazione di alcune ipotesi limitate di modifiche unilaterali consentite al ricorrere di stringenti condizioni (i.e. modifiche vantaggiose per il cliente e preventivamente notificate).​