keyboard_tab Data Act 2023/2854 IT
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Articolo 1 Oggetto e ambito di applicazione
- 1 Articolo 2 Definizioni
- 1 Articolo 14 Obbligo di mettere a disposizione i dati sulla base di necessità eccezionali
- 2 Articolo 15 Necessità eccezionale di utilizzare i dati
- 4 Articolo 17 Richieste di messa a disposizione di dati
- 1 Articolo 18 Soddisfacimento delle richieste di dati
- 1 Articolo 20 Compenso in casi di necessità eccezionale
- 1 Articolo 37 Autorità competenti e coordinatori dei dati
- 1 Articolo 44 Altri atti giuridici dell’Unione che disciplinano i diritti e gli obblighi in materia di accesso ai dati e relativo utilizzo
CAPO I
DISPOSIZIONI GENERALI
CAPO II
CONDIVISIONE DEI DATI DA IMPRESA A CONSUMATORE E DA IMPRESA A IMPRESA
CAPO III
OBBLIGHI PER I TITOLARI DEI DATI TENUTI A METTERE A DISPOSIZIONE I DATI A NORMA DEL DIRITTO DELL’UNIONE
CAPO IV
CLAUSOLE CONTRATTUALI ABUSIVE RELATIVE ALL’ACCESSO AI DATI E AL RELATIVO UTILIZZO TRA IMPRESE
CAPO V
METTERE I DATI A DISPOSIZIONE DI ENTI PUBBLICI, DELLA COMMISSIONE, DELLA BANCA CENTRALE EUROPEA E DI ORGANISMI DELL’UNIONE SULLA BASE DI NECESSITÀ ECCEZIONALI
CAPO VI
PASSAGGIO TRA SERVIZI DI TRATTAMENTO DEI DATI
CAPO VII
ACCESSO GOVERNATIVO E TRASFERIMENTO INTERNAZIONALI DI DATI NON PERSONALI
CAPO VIII
INTEROPERABILITÀ
CAPO IX
ATTUAZIONE ED ESECUZIONE
CAPO X
DIRITTO « SUI GENERIS » A NORMA DELLA DIRETTIVA 96/9/CE
CAPO XI
DISPOSIZIONI FINALI
- alfabetizzazione in materia di dati
- dati
- metadati
- dati personali
- dati non personali
- prodotto connesso
- servizio correlato
- trattamento
- servizio di trattamento dei dati
- stesso tipo di servizio
- servizio di intermediazione dei dati
- interessato
- utente
- titolare dei dati
- destinatario dei dati
- dati del prodotto
- dati di un servizio correlato
- dati prontamente disponibili
- segreto commerciale
- detentore del segreto commerciale
- profilazione
- messa a disposizione sul mercato
- immissione sul mercato
- consumatore
- impresa
- piccola impresa
- microimpresa
- organismi dell’Unione
- ente pubblico
- emergenza pubblica
- cliente
- assistenti virtuali
- risorse digitali
- infrastruttura TIC locale
- passaggio
- tariffe di uscita dei dati
- tariffe di passaggio
- equivalenza funzionale
- dati esportabili
- contratto intelligente
- interoperabilità
- specifica di interoperabilità aperta
- specifiche comuni
- norma armonizzata
- dati 235
- presente 66
- regolamento 61
- dell’unione 46
- disposizione 35
- autorità 35
- richiesta 34
- trattamento 30
- servizi 30
- titolare 29
- diritto 27
- norma 27
- europea 26
- centrale 25
- ue / 24
- banca 24
- personali 23
- ente_pubblico 21
- competenti 19
- servizio 18
- dell’articolo 18
- il 17
- nazionale 17
- membro 16
- stati 16
- capo 16
- all’articolo 16
- pubblico 14
- membri 14
- applica 14
- caso 14
- messa 14
- necessità 13
- competente 13
- prodotto_connesso 13
- eccezionale 13
- diritti 12
- richiesti 12
- connessi 12
- nell’unione 11
- cliente 11
- atti 11
- paragrafo 11
- pubblici 11
- titolari 11
- organismo 11
- applicazione 11
- sensi 10
- richieste 10
- servizio_correlato 10
Articolo 1
Oggetto e ambito di applicazione
1. Il presente regolamento stabilisce norme armonizzate per quanto riguarda, tra l’altro:
| a) | la messa a disposizione dei dati del prodotto_connesso e di un servizio_correlato all’ utente del prodotto_connesso o del servizio_correlato; |
| b) | la messa a disposizione di dati da parte dei titolari dei dati ai destinatari dei dati; |
| c) | la messa a disposizione di dati da parte dei titolari dei dati agli enti pubblici, alla Commissione, alla Banca centrale europea e a organismi_dell’Unione, a fronte di necessità eccezionali per tali dati, per l’esecuzione di un compito specifico svolto nell’interesse pubblico; |
| d) | la facilitazione del passaggio da un servizio di trattamento dei dati all’altro; |
| e) | l’introduzione di garanzie contro l’accesso illecito di terzi ai dati non personali; e |
| f) | lo sviluppo di norme di interoperabilità per i dati a cui accedere, da trasferire e utilizzare. |
2. Il presente regolamento concerne i dati personali e non personali, compresi i seguenti tipi di dati nei contesti seguenti:
| a) | il capo II si applica ai dati, ad eccezione del contenuto, relativi alle prestazioni, all’uso e all’ambiente dei prodotti connessi e dei servizi correlati; |
| b) | il capo III si applica a tutti i dati del settore privato soggetti a obblighi di condivisione dei dati previsti dalla legge; |
| c) | il capo IV si applica a tutti i dati del settore privato il cui accesso e utilizzo si basano su contratti tra imprese; |
| d) | il capo V si applica a tutti i dati del settore privato, incentrandosi sui dati non personali; |
| e) | il capo VI si applica a tutti i dati e servizi trattati dai fornitori di servizi di trattamento dei dati; |
| f) | il capo VII si applica a tutti i dati non personali detenuti nell’Unione da fornitori di servizi di trattamento dei dati. |
3. Il presente regolamento si applica:
| a) | ai fabbricanti di prodotti connessi immessi sul mercato dell’Unione e ai fornitori di servizi correlati, indipendentemente dal loro luogo di stabilimento di tali fabbricanti e fornitori; |
| b) | agli utenti nell’Unione di prodotti connessi o servizi correlati di cui alla lettera a); |
| c) | ai titolari dei dati, indipendentemente dal loro luogo di stabilimento, che mettono dati a disposizione dei destinatari dei dati nell’Unione; |
| d) | ai destinatari dei dati nell’Unione a disposizione dei quali sono messi i dati; |
| e) | agli enti pubblici, alla Commissione, alla Banca centrale europea e agli organismi_dell’Unione che chiedono ai titolari dei dati di mettere i dati a disposizione nel caso tali dati siano necessari a fronte di una necessità eccezionale per l’esecuzione di un compito specifico svolto nell’interesse pubblico e ai titolari dei dati che forniscono tali dati in risposta a tale richiesta; |
| f) | ai fornitori di servizi di trattamento dei dati, indipendentemente dal loro luogo di stabilimento, che forniscono tali servizi a clienti nell’Unione; |
| g) | ai partecipanti agli spazi di dati, ai venditori di applicazioni che utilizzano contratti intelligenti e alle persone la cui attività commerciale, imprenditoriale o professionale comporti l’implementazione di contratti intelligenti per altri nel contesto dell’esecuzione di un accordo. |
4. Nei casi in cui il presente regolamento fa riferimento a prodotti connessi o servizi correlati, tali riferimenti comprendono anche gli assistenti_virtuali, nella misura in cui interagiscono con un prodotto_connesso o un servizio_correlato.
5. Il presente regolamento fa salvo il diritto dell’Unione e nazionale in materia di protezione dei dati personali, della vita privata e della riservatezza delle comunicazioni e dell’integrità delle apparecchiature terminali, che si applica ai dati personali trattati in relazione ai diritti e agli obblighi, in particolare i regolamenti (UE) 2016/679 e (UE) 2018/1725 e la direttiva 2002/58/CE, nonché i poteri e le competenze delle autorità di controllo e i diritti degli interessati. Nella misura in cui gli utenti sono gli interessati, i diritti di cui al capo II del presente regolamento integrano i diritti di accesso da parte degli interessati e i diritti alla portabilità dei dati di cui agli articoli 15 e 20 del regolamento (UE) 2016/679. In caso di conflitto tra il presente regolamento e il diritto dell’Unione in materia di protezione dei dati personali o della vita privata o la legislazione nazionale adottata conformemente a tale diritto dell’Unione, prevale il pertinente diritto dell’Unione o nazionale in materia di protezione dei dati personali o della vita privata.
6. Il presente regolamento non si applica agli accordi volontari per lo scambio di dati tra soggetti pubblici e privati né li pregiudica, in particolare gli accordi volontari di condivisione dei dati.
Il presente regolamento non pregiudica gli atti giuridici dell’Unione o nazionali che prevedono la condivisione e l’utilizzo dei dati e l’accesso agli stessi a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, o a fini doganali e fiscali, in particolare i regolamenti (UE) 2021/784, (UE) 2022/2065 e (UE) 2023/1543 e la direttiva (UE) 2023/1544, o la cooperazione internazionale in tale settore. Il presente regolamento non si applica alla raccolta o alla condivisione, all’accesso o all’utilizzo dei dati a norma del regolamento (UE) 2015/847 e della direttiva (UE) 2015/849. Il presente regolamento non si applica ai settori che non rientrano nell’ambito di applicazione del diritto dell’Unione e in ogni caso non pregiudica le competenze degli Stati membri in materia di sicurezza pubblica, difesa o sicurezza nazionale indipendentemente dal tipo di entità incaricata dagli Stati membri di svolgere compiti in relazione a tali competenze, né il loro potere di salvaguardare altre funzioni essenziali dello Stato, tra cui la garanzia dell’integrità territoriale dello Stato e il mantenimento dell’ordine pubblico. Il presente regolamento fa salve le competenze degli Stati membri in materia di amministrazione doganale e fiscale o salute e sicurezza dei cittadini.
7. Il presente regolamento integra l’approccio di autoregolamentazione di cui al regolamento (UE) 2018/1807 aggiungendo obblighi di applicazione generale relativi al passaggio ad altri servizi cloud.
8. Il presente regolamento fa salvi gli atti giuridici dell’Unione e nazionali che prevedono la tutela dei diritti di proprietà intellettuale, in particolare le direttive 2001/29/CE, 2004/48/CE e (UE) 2019/790.
9. Il presente regolamento integra e fa salvo il diritto dell’Unione volto a promuovere gli interessi dei consumatori e a garantire un livello elevato di protezione dei consumatori, nonché a proteggere la loro salute, la loro sicurezza e i loro interessi economici, in particolare le direttive 93/13/CEE, 2005/29/CE e 2011/83/UE.
10. Il presente regolamento non preclude la conclusione di contratti di condivisione dei dati volontari e legittimi, ivi compresi contratti conclusi su base reciproca, che siano conformi ai requisiti di cui al presente regolamento.
Articolo 2
Definizioni
Ai fini del presente regolamento si applicano le definizioni seguenti:
| 1) | « dati»: qualsiasi rappresentazione digitale di atti, fatti o informazioni e qualsiasi raccolta di tali atti, fatti o informazioni, anche sotto forma di registrazione sonora, visiva o audiovisiva; |
| 2) | «meta dati»: una descrizione strutturata del contenuto o dell’uso dei dati che agevola la ricerca o l’utilizzo di tali dati; |
| 3) | « dati personali»: i dati personali quali definiti all’articolo 4, punto 1, del regolamento (UE) 2016/679; |
| 4) | « dati non personali»: i dati diversi dai dati personali; |
| 5) | « prodotto_connesso»: un bene che ottiene, genera o raccoglie dati relativi al suo utilizzo o al suo ambiente e che è in grado di comunicare dati del prodotto tramite un servizio di comunicazione elettronica, una connessione fisica o l’accesso su dispositivo, e la cui funzione primaria non è l’archiviazione, il trattamento o la trasmissione dei dati per conto di una parte diversa dall’ utente; |
| 6) | « servizio_correlato»: un servizio digitale diverso da un servizio di comunicazione elettronica, anche software, connesso con il prodotto al momento dell’acquisto, della locazione o del noleggio in modo tale che la sua assenza impedirebbe al prodotto_connesso di svolgere una o più delle sue funzioni o che è successivamente connesso al prodotto dal fabbricante o da un terzo al fine di ampliare, aggiornare o adattare le funzioni del prodotto_connesso; |
| 7) | « trattamento»: qualsiasi operazione o insieme di operazioni compiute su dati o insiemi di dati, con o senza l’ausilio di strumenti automatizzati, come la raccolta, la registrazione, l’organizzazione, la strutturazione, l’archiviazione, l’adattamento o la modifica, il reperimento, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o altra forma di messa a disposizione, l’allineamento o l’interconnessione, la limitazione, la cancellazione o la distruzione; |
| 8) | «servizio di trattamento dei dati»: un servizio digitale fornito a un cliente e che consente l’accesso di rete universale e su richiesta a un pool condiviso di risorse informatiche configurabili, scalabili ed elastiche di natura centralizzata, distribuita o altamente distribuita e che può essere rapidamente erogato e rilasciato con un minimo sforzo di gestione o interazione con il fornitore di servizi; |
| 9) | « stesso_tipo_di_servizio»: un insieme di servizi di trattamento dei dati che condividono lo stesso obiettivo primario, lo stesso modello di servizio di trattamento dei dati e le principali funzionalità; |
| 10) | «servizio di intermediazione dei dati»: un servizio di intermediazione dei dati quale definito all’articolo 2, punto 11, del regolamento (UE) 2022/868; |
| 11) | « interessato»: l’ interessato di cui all’articolo 4, punto 1, del regolamento (UE) 2016/679; |
| 12) | « utente»: una persona fisica o giuridica che possiede un prodotto_connesso o a cui sono stati trasferiti contrattualmente diritti temporanei di utilizzo di tale prodotto_connesso o che riceve un servizio_correlato; |
| 13) | «titolare dei dati»: una persona fisica o giuridica che ha il diritto o l’obbligo, conformemente al presente regolamento, al diritto applicabile dell’Unione o alla legislazione nazionale adottata conformemente al diritto dell’Unione, di utilizzare e mettere a disposizione dati, compresi, se concordato contrattualmente, dati del prodotto o di un servizio_correlato che ha reperito o generato nel corso della fornitura di un servizio_correlato; |
| 14) | «destinatario dei dati»: una persona fisica o giuridica, che agisce per fini connessi alla sua attività commerciale, imprenditoriale, artigianale o professionale, diversa dall’ utente di un prodotto_connesso o di un servizio_correlato, a disposizione della quale il titolare dei dati mette i dati, e che può essere un terzo in seguito a una richiesta da parte dell’ utente al titolare dei dati o conformemente a un obbligo giuridico ai sensi del diritto dell’Unione o della legislazione nazionale adottata conformemente al diritto dell’Unione; |
| 15) | « dati del prodotto»: dati generati dall’uso di un prodotto_connesso e progettati dal fabbricante in modo tale che un utente, un titolare dei dati o un terzo, compreso se del caso il fabbricante, possano reperirli tramite un servizio di comunicazione elettronica, una connessione fisica o l’accesso su dispositivo; |
| 16) | « dati di un servizio_correlato»: dati che rappresentano la digitalizzazione delle azioni o degli eventi degli utenti relativi al prodotto_connesso, registrati intenzionalmente dall’ utente o generati come sottoprodotto dell’azione dell’ utente durante la fornitura di un servizio_correlato da parte del fornitore; |
| 17) | « dati prontamente disponibili»: dati del prodotto e dati di un servizio_correlato che un titolare dei dati ottiene o può ottenere legittimamente dal prodotto_connesso o dal servizio_correlato senza che ciò implichi uno sforzo sproporzionato che vada al di là di una semplice operazione; |
| 18) | « segreto_commerciale»: un segreto_commerciale quale definito all’articolo 2, punto 1, della direttiva (UE) 2016/943; |
| 19) | «detentore del segreto_commerciale»: un detentore del segreto_commerciale quale definito all’articolo 2, punto 2, della direttiva (UE) 2016/943; |
| 20) | « profilazione»: la profilazione quale definita all’articolo 4, punto 4, del regolamento (UE) 2016/679; |
| 21) | « messa_a_disposizione_sul_mercato»: la fornitura di un prodotto_connesso per la distribuzione, il consumo o l’uso sul mercato dell’Unione nel corso di un’attività commerciale, a titolo oneroso o gratuito; |
| 22) | « immissione_sul_mercato»: la prima messa a disposizione di un prodotto_connesso sul mercato dell’Unione; |
| 23) | « consumatore»: qualsiasi persona fisica che agisce per scopi estranei alla propria attività commerciale, imprenditoriale, artigianale o professionale; |
| 24) | « impresa»: una persona fisica o giuridica che, in relazione ai contratti e alle pratiche di cui al presente regolamento, agisce per fini connessi alla propria attività commerciale, imprenditoriale, artigianale o professionale; |
| 25) | «piccola impresa» una piccola impresa quale definita all’articolo 2, paragrafo 2, dell’allegato della raccomandazione 2003/361/CE; |
| 26) | «micro impresa»: una micro impresa quale definita all’articolo 2, paragrafo 3, dell’allegato della raccomandazione 2003/361/CE; |
| 27) | « organismi_dell’Unione»: organi e organismi_dell’Unione istituiti da atti adottati sulla base del trattato sull’Unione europea, del TFUE o del trattato che istituisce la comunità europea dell’energia atomica o ai sensi di tali atti; |
| 28) | « ente_pubblico»: le autorità nazionali, regionali o locali degli Stati membri e gli organismi di diritto pubblico degli Stati membri o le associazioni formate da una o più di tali autorità oppure da uno o più di tali organismi; |
| 29) | « emergenza_pubblica»: una situazione eccezionale, limitata nel tempo, come un’emergenza di sanità pubblica, un’emergenza derivante da calamità naturali, una grave catastrofe di origine antropica, compreso un grave incidente di cibersicurezza, che incide negativamente sulla popolazione dell’Unione o su tutto o parte di uno Stato membro, con il rischio di ripercussioni gravi e durature sulle condizioni di vita o sulla stabilità economica, sulla stabilità finanziaria, o di un sostanziale e immediato degrado delle risorse economiche nell’Unione o nello Stato membro o negli Stati membri interessati e che è determinata o dichiarata ufficialmente in conformità delle pertinenti procedure previste dal diritto dell’Unione o nazionale; |
| 30) | « cliente»: una persona fisica o giuridica che ha instaurato un rapporto contrattuale con un fornitore di servizi di trattamento dei dati con l’obiettivo di utilizzare uno o più servizi di trattamento dei dati; |
| 31) | « assistenti_virtuali»: software che può elaborare richieste, compiti o domande, compresi quelli basati su input sonori o scritti, gesti o movimenti, e che, sulla base di tali richieste, compiti o domande, fornisce accesso ad altri servizi o controlla le funzioni dei prodotti connessi; |
| 32) | « risorse_digitali»: elementi in formato digitale, comprese le applicazioni, relativamente ai quali il cliente ha il diritto d’uso, indipendentemente dal rapporto contrattuale con il servizio di trattamento dei dati che intende abbandonare per passare a un altro; |
| 33) | « infrastruttura_TIC_locale»: un’infrastruttura TIC e risorse informatiche possedute dal cliente, o da questi prese in locazione o noleggiate, situate nel centro dati del cliente stesso e operate dal cliente o da un terzo; |
| 34) | « passaggio»: il processo che coinvolge un fornitore di servizi di trattamento dei dati di origine, un cliente di un servizio di trattamento dei dati e, ove pertinente, un fornitore di servizi di trattamento dei dati di destinazione, nel quale il cliente del servizio di trattamento dei dati passa dall’utilizzo di un servizio di trattamento dei dati all’utilizzo di un altro servizio di trattamento dei dati appartenente allo stesso_tipo_di_servizio, o un altro servizio, offerto da un diverso fornitore di servizi di trattamento dei dati, o a una infrastruttura_TIC_locale, anche mediante l’estrazione, la trasformazione e il caricamento dei dati; |
| 35) | «tariffe di uscita dei dati»: le tariffe di trasferimento dei dati addebitate ai clienti per l’estrazione dei loro dati attraverso la rete dall’infrastruttura TIC di un fornitore di servizi di trattamento dei dati e l’invio ai sistemi di un diverso fornitore o a infrastrutture TIC locali; |
| 36) | «tariffe di passaggio»: le tariffe diverse dalle spese standard di servizio o di risoluzione anticipata, imposte da un fornitore di servizi di trattamento dei dati a un cliente per le azioni imposte dal presente regolamento in caso di passaggio ai sistemi di un diverso fornitore o all’ infrastruttura_TIC_locale, comprese le tariffe di uscita dei dati; |
| 37) | « equivalenza_funzionale»: il ripristino, sulla base dei dati esportabili e delle risorse_digitali del cliente, di un livello minimo di funzionalità nell’ambiente di un nuovo servizio di trattamento dei dati dello stesso_tipo_di_servizio dopo il processo di passaggio, laddove il servizio del trattamento dei dati di destinazione fornisce risultati sostanzialmente comparabili in risposta al medesimo input per le caratteristiche condivise fornite al cliente in virtù del contratto; |
| 38) | « dati esportabili»: ai fini degli articoli da 23 a 31 e dell’articolo 35, i dati di ingresso e uscita, inclusi i meta dati, direttamente o indirettamente generati o cogenerati dall’utilizzo del servizio di trattamento dei dati da parte del cliente, a esclusione di risorse o dati protetti da diritti di proprietà intellettuale, o che costituiscono segreti commerciali, di fornitori di servizi di trattamento dei dati o di terzi; |
| 39) | « contratto_intelligente»: un programma informatico utilizzato per l’esecuzione automatica di un accordo o di parte di esso utilizzando una sequenza di registrazioni elettroniche di dati e garantendone l’integrità e l’accuratezza del loro ordine cronologico; |
| 40) | « interoperabilità»: la capacità di due o più spazi di dati o reti di comunicazione, sistemi, prodotti connessi, applicazioni, servizi di trattamento di dati o componenti di scambiare e utilizzare dati per svolgere le loro funzioni; |
| 41) | «specifica di interoperabilità aperta»: una specifica tecnica delle tecnologie dell’informazione e della comunicazione, orientate alle prestazioni ai fini del conseguimento dell’ interoperabilità tra i servizi di trattamento dei dati; |
| 42) | « specifiche_comuni»: un documento, diverso da una norma, contenente soluzioni tecniche che forniscono i mezzi per soddisfare determinati requisiti e obblighi stabiliti a norma del presente regolamento; |
| 43) | « norma_armonizzata»: una norma_armonizzata, quale definita all’articolo 2, punto 1, lettera c), del regolamento (UE) n. 1025/2012. |
CAPO II
CONDIVISIONE DEI DATI DA IMPRESA A CONSUMATORE E DA IMPRESA A IMPRESA
Articolo 14
Obbligo di mettere a disposizione i dati sulla base di necessità eccezionali
Qualora un ente_pubblico, la Commissione, la Banca centrale europea o un organismo dell’Unione dimostri una necessità eccezionale, di cui all’articolo 15, di utilizzare taluni dati, ivi compresi i pertinenti meta dati necessari per interpretare e utilizzare tali dati, per svolgere le proprie funzioni statutarie nell’interesse pubblico, i titolari dei dati che sono persone giuridiche diverse da enti pubblici e che detengono tali dati li mettono a disposizione su richiesta motivata.
Articolo 15
Necessità eccezionale di utilizzare i dati
1. Una necessità eccezionale di utilizzare determinati dati ai sensi del presente capo è limitata nel tempo e nella portata e si considera esistente esclusivamente in una delle circostanze seguenti:
| a) | se i dati richiesti sono necessari per rispondere a un’ emergenza_pubblica e l’ ente_pubblico, la Commissione, la Banca centrale europea o l’organismo dell’Unione non può ottenere tali dati con mezzi alternativi in modo tempestivo ed efficace a condizioni equivalenti; |
| b) | in circostanze non contemplate dalla lettera a) e solo nella misura in cui si tratti di dati non personali qualora:
|
2. Il paragrafo 1, lettera b), non si applica alle microimprese e alle piccole imprese.
3. L’obbligo di dimostrare che l’ ente_pubblico non ha potuto ottenere i dati non personali acquistandoli sul mercato non si applica quando il compito specifico svolto nell’interesse pubblico è la produzione di statistiche ufficiali e quando l’acquisto di tali dati non è autorizzato dal diritto nazionale.
Articolo 17
Richieste di messa a disposizione di dati
1. Se richiede dati a norma dell’articolo 14, un ente_pubblico, la Commissione, la Banca centrale europea o un organismo dell’Unione:
| a) | specifica i dati richiesti, compresi i pertinenti meta dati necessari per interpretare e utilizzare tali dati; |
| b) | dimostra che sono soddisfatte le condizioni necessarie perché sussista una necessità eccezionale di cui all’articolo 15 al cui fine sono richiesti i dati; |
| c) | spiega la finalità della richiesta, l’utilizzo previsto dei dati richiesti, compreso, se del caso, da parte di un terzo in conformità del paragrafo 4 del presente articolo, la durata di tale utilizzo e, se pertinente, le modalità con cui il trattamento dei dati personali risponderà alla necessità eccezionale; |
| d) | specifica, se possibile, quando si prevede che i dati siano cancellati da tutte le parti che vi hanno accesso; |
| e) | giustifica la scelta del titolare dei dati cui è rivolta la richiesta; |
| f) | specifica gli eventuali altri enti pubblici, o la Commissione, la Banca centrale europea o gli organismi_dell’Unione e i terzi con i quali si prevede che saranno condivisi i dati richiesti; |
| g) | qualora siano richiesti dati personali, specifica le misure tecniche e organizzative necessarie e proporzionate per attuare i principi di protezione dei dati e le garanzie necessarie, quali la pseudonimizzazione, come anche la possibilità o meno, per il titolare dei dati, di applicare l’anonimizzazione prima di mettere i dati a disposizione; |
| h) | indica la disposizione legislativa che attribuisce all’ ente_pubblico richiedente, alla Commissione, alla Banca centrale europea o all’organismo dell’Unione lo specifico compito svolto nell’interesse pubblico pertinente per la richiesta dei dati; |
| i) | specifica il termine entro il quale i dati devono essere messi a disposizione e il termine di cui all’articolo 18, paragrafo 2, entro il quale il titolare dei dati può rifiutare o chiedere la modifica della richiesta; |
| j) | si adopera al meglio per evitare che il soddisfacimento della richiesta di dati comporti la responsabilità del titolare dei dati per violazione del diritto dell’Unione o nazionale. |
2. Una richiesta di dati presentata a norma del paragrafo 1 del presente articolo:
| a) | è presentata per iscritto ed espressa in un linguaggio chiaro, conciso e semplice, comprensibile per il titolare dei dati; |
| b) | è specifica per quanto riguarda il tipo di dati richiesti e corrisponde ai dati su cui il titolare dei dati ha il controllo al momento della richiesta; |
| c) | è proporzionata alla necessità eccezionale e debitamente giustificata, per quanto riguarda la granularità e il volume dei dati richiesti e la frequenza di accesso ai dati richiesti; |
| d) | rispetta gli obiettivi legittimi del titolare dei dati, impegnandosi a rispettare la tutela dei segreti commerciali in conformità dell’articolo 19, paragrafo 3, e tenendo conto dei costi e degli sforzi necessari per mettere a disposizione i dati; |
| e) | riguarda dati non personali e, solo nel caso in cui sia dimostrato che ciò è insufficiente a rispondere alla necessità eccezionale di usare i dati, in conformità dell’articolo 15, paragrafo 1, lettera a), richiede dati personali in forma pseudominizzata e istituisce le misure tecniche e organizzative che saranno adottate per proteggere i dati; |
| f) | informa il titolare dei dati delle sanzioni che l’autorità competente designata ai sensi dell’articolo 37 impone a norma dell’articolo 40 in caso di mancato soddisfacimento della richiesta; |
| g) | qualora sia presentata da un ente_pubblico, è trasmessa al coordinatore dei dati, di cui all’articolo 37, dello Stato membro in cui è stabilito l’ ente_pubblico richiedente, che mette la richiesta a disposizione del pubblico online senza indebito ritardo, a meno che ritenga che tale pubblicazione costituirebbe un rischio per la sicurezza pubblica; |
| h) | qualora la richiesta sia presentata dalla Commissione, dalla Banca centrale europea e da un organismo dell’Unione è resa disponibile al pubblico online senza indebito ritardo; |
| i) | qualora siano richiesti dati personali, è notificata senza indebito ritardo all’autorità di controllo responsabile di sorvegliare l’applicazione del regolamento (UE) 2016/679 nello Stato membro in cui l’ ente_pubblico è stabilito. |
La Banca centrale europea e gli organismi_dell’Unione informano la Commissione delle loro richieste
3. Un ente_pubblico, la Commissione, la Banca centrale europea o un organismo dell’Unione non mette i dati ottenuti a norma del presente capo a disposizione per il riutilizzo ai sensi dell’articolo 2, punto 2), del regolamento (UE) 2022/868 o dell’articolo 2, punto 11), della direttiva (UE) 2019/1024. Il regolamento (UE) 2022/868 e la direttiva (UE) 2019/1024 non si applicano ai dati detenuti da enti pubblici ottenuti a norma del presente capo.
4. Il paragrafo 3 del presente articolo non preclude a un ente_pubblico, o alla Commissione, alla Banca centrale europea o a un organismo dell’Unione di scambiare i dati ottenuti a norma del presente capo con altri enti pubblici, la Commissione, la Banca centrale europea o un organismo dell’Unione al fine di svolgere i compiti di cui all’articolo 15, secondo quanto specificato nella richiesta a norma del paragrafo 1, lettera f ) del presente articolo, o di mettere i dati a disposizione di un terzo nei casi in cui abbia delegato a tale terzo, mediante un accordo accessibile al pubblico, ispezioni tecniche o altre funzioni. Gli obblighi incombenti agli enti pubblici a norma dell’articolo 19, in particolare le garanzie tese a preservare la riservatezza dei segreti commerciali, si applicano anche a detti terzi. Se trasmette o mette a disposizione dati a norma del presente paragrafo, un ente_pubblico o la Commissione, la Banca centrale europea o un organismo dell’Unione ne informa senza indebito ritardo il titolare dei dati che li ha trasmessi.
5. Se ritiene che i suoi diritti di cui al presente capo siano stati violati dalla trasmissione o dalla messa a disposizione dei dati, il titolare dei dati può presentare un reclamo all’autorità competente, designata ai sensi dell’articolo 37, dello Stato membro in cui è stabilito.
6. La Commissione elabora un modello per le richieste a norma del presente articolo.
Articolo 18
Soddisfacimento delle richieste di dati
1. Il titolare dei dati che riceve una richiesta di mettere i dati a disposizione a norma del presente capo mette i dati a disposizione dell’ ente_pubblico o della Commissione, della Banca centrale europea o di un organismo dell’Unione richiedente senza indebito ritardo, tenendo conto delle misure tecniche, organizzative e giuridiche necessarie.
2. Fatte salve le esigenze specifiche relative alla disponibilità dei dati definite nel diritto dell’Unione o nazionale, un titolare dei dati può rifiutare o chiedere la modifica di una richiesta di mettere i dati a disposizione ai sensi del presente capo senza indebito ritardo e, in ogni caso, entro cinque giorni lavorativi dal ricevimento di una richiesta di dati necessari per rispondere a un’ emergenza_pubblica e senza indebito ritardo e, in ogni caso, entro 30 giorni lavorativi dal ricevimento di tale richiesta in altri casi di necessità eccezionale, per uno dei motivi seguenti:
| a) | il titolare dei dati non ha il controllo sui dati richiesti; |
| b) | un altro ente_pubblico, o la Commissione, la Banca centrale europea o un organismo dell’Unione ha presentato in precedenza una richiesta analoga per la stessa finalità e al titolare dei dati non è stata notificata la cancellazione dei dati a norma dell’articolo 19, paragrafo 1, lettera c); |
| c) | la richiesta non soddisfa le condizioni di cui all’articolo 17, paragrafi 1 e 2. |
3. Se decide di rifiutare la richiesta o di chiederne la modifica a norma del paragrafo 2, lettera b), il titolare dei dati indica l’identità dell’ ente_pubblico o della Commissione, della Banca centrale europea o dell’organismo dell’Unione che ha presentato in precedenza una richiesta per la stessa finalità.
4. Se l’insieme di dati richiesto include dati personali, il titolare dei dati anonimizza adeguatamente i dati, a meno che il soddisfacimento della richiesta di mettere i dati a disposizione di un ente_pubblico, della Commissione, della Banca centrale europea o di un organismo dell’Unione imponga la divulgazione di dati personali. In tali casi il titolare dei dati pseudonimizza i dati .
5. Se l’ ente_pubblico, la Commissione, la Banca centrale europea o l’organismo dell’Unione intende contestare il rifiuto del titolare dei dati di fornire i dati richiesti o se il titolare dei dati intende contestare la richiesta e la questione non può essere risolta mediante opportuna modifica della stessa, la questione è sottoposta all’autorità competente, designata ai sensi dell’articolo 37, dello Stato membro in cui è stabilito il titolare dei dati.
Articolo 20
Compenso in casi di necessità eccezionale
1. I titolari dei dati diversi dalle microimprese e piccole imprese mettono a disposizione a titolo gratuito i dati necessari per rispondere a un’ emergenza_pubblica a norma dell’articolo 15, paragrafo 1, lettera a). L’ ente_pubblico, la Commissione, la Banca centrale europea o l’organismo dell’Unione che ha ricevuto i dati fornisce un riconoscimento pubblico al titolare dei dati se richiesto da quest’ultimo.
2. Il titolare dei dati ha diritto a un compenso equo per la messa a disposizione dei dati al fine di soddisfare una richiesta presentata a norma dell’articolo 15, paragrafo 1, lettera b). Tale compenso copre i costi tecnici e organizzativi sostenuti per soddisfare la richiesta, compresi, se del caso, i costi di anonimizzazione, pseudonimizzazione, aggregazione e di adattamento tecnico, e un margine ragionevole. Su richiesta dell’ ente_pubblico, della Commissione, della Banca centrale europea o dell’organismo dell’Unione, il titolare dei dati fornisce informazioni sulla base per il calcolo dei costi e del margine ragionevole.
3. Il paragrafo 2 si applica anche quando una micro impresa e una piccola impresa chiedono un compenso per la messa a disposizione dei dati.
4. I titolari dei dati non hanno diritto a un compenso per la messa a disposizione dei dati al fine di soddisfare una richiesta presentata a norma dell’articolo 15, paragrafo 1, lettera b), se il compito specifico svolto nell’interesse pubblico è la produzione di statistiche ufficiali e se il diritto nazionale non consente l’acquisto di dati. Se il diritto nazionale non consente l’acquisto di dati per la produzione di statistiche ufficiali, gli Stati membri lo notificano alla Commissione.
5. Se l’ ente_pubblico, la Commissione, la Banca centrale europea o l’organismo dell’Unione è in disaccordo sul livello di compenso richiesto dal titolare dei dati, può presentare un reclamo all’autorità competente, designata ai sensi dell’articolo 37, dello Stato membro in cui il titolare dei dati è stabilito.
Articolo 37
Autorità competenti e coordinatori dei dati
1. Ciascuno Stato membro designa una o più autorità competenti incaricate dell’applicazione e dell’esecuzione del presente regolamento (autorità competenti). Gli Stati membri possono istituire una o più nuove autorità o fare affidamento sulle autorità esistenti.
2. Qualora uno Stato membro designi più di un’autorità competente, tra di esse designa un coordinatore dei dati per facilitare la cooperazione tra le autorità competenti e per assistere le entità che rientrano nell’ambito di applicazione del presente regolamento su tutte le questioni relative alla sua applicazione ed esecuzione. Le autorità competenti, nell’esercizio dei compiti e dei poteri ad esse assegnati a norma del paragrafo 5, cooperano tra loro.
3. Le autorità di controllo incaricate di sorvegliare l’applicazione del regolamento (UE) 2016/679 sono incaricate di sorvegliare l’applicazione del presente regolamento per quanto riguarda la protezione dei dati personali. I capi VI e VII del regolamento (UE) 2016/679 si applicano mutatis mutandis.
Il Garante europeo della protezione dei dati è incaricato di monitorare l’applicazione del presente regolamento nella misura in cui riguarda la Commissione, la Banca centrale europea o gli organismi_dell’Unione. Ove pertinente, l’articolo 62 del regolamento (UE) 2018/1725 si applica mutatis mutandis.
I compiti e i poteri delle autorità di controllo di cui al presente paragrafo sono esercitati in relazione al trattamento dei dati personali.
4. Fatto salvo il paragrafo 1 del presente articolo:
| a) | per questioni specifiche concernenti l’accesso ai dati settoriali e il loro utilizzo relative all’attuazione del presente regolamento è rispettata la competenza delle autorità settoriali; |
| b) | l’autorità competente incaricata dell’applicazione e dell’esecuzione degli articoli da 23 a 31 e degli articoli 34 e 35 ha esperienza nel campo dei dati e dei servizi di comunicazioni elettroniche. |
5. Gli Stati membri provvedono affinché i compiti e poteri delle autorità competenti siano chiaramente definiti e comprendano:
| a) | la promozione dell’ alfabetizzazione_in_materia_di_ dati e la sensibilizzazione degli utenti e delle entità che rientrano nell’ambito di applicazione del presente regolamento in merito ai diritti e agli obblighi a norma del presente regolamento; |
| b) | il trattamento dei reclami derivanti da presunte violazioni del presente regolamento, anche in relazione a segreti commerciali, lo svolgimento di indagini, nella misura appropriata, sull’oggetto dei reclami e la periodica trasmissione di informazioni ai reclamanti, conformemente al diritto nazionale se del caso, in merito allo stato e all’esito delle indagini entro un termine ragionevole, in particolare ove siano necessari ulteriori indagini o il coordinamento con un’altra autorità competente; |
| c) | lo svolgimento di indagini su questioni relative all’applicazione del presente regolamento, anche sulla base di informazioni ricevute da un’altra autorità competente o da un’altra autorità pubblica; |
| d) | l’inflizione di sanzioni pecuniarie effettive, proporzionate e dissuasive che possono includere sanzioni periodiche e sanzioni con effetto retroattivo, o l’avvio di procedimenti giudiziari per l’inflizione di ammende; |
| e) | il monitoraggio degli sviluppi tecnologici e dei pertinenti sviluppi commerciali rilevanti per la messa a disposizione e l’utilizzo dei dati; |
| f) | la cooperazione con le autorità competenti di altri Stati membri e, ove opportuno, con la Commissione o l’EDIB per garantire l’applicazione coerente ed efficiente del presente regolamento, compreso lo scambio di tutte le informazioni pertinenti per via elettronica, senza indebito ritardo, anche per quanto riguarda il paragrafo 10 del presente articolo; |
| g) | la cooperazione con le autorità competenti pertinenti incaricate dell’attuazione di altri atti giuridici dell’Unione o nazionali, comprese le autorità competenti nel campo dei dati e dei servizi di comunicazioni elettroniche, l’autorità di controllo incaricata di sorvegliare l’applicazione del regolamento (UE) 2016/679 o le autorità settoriali, per garantire che il presente regolamento sia applicato coerentemente con il diritto dell’Unione e nazionale; |
| h) | la cooperazione con le autorità competenti pertinenti per garantire che gli articoli da 23 a 31 e gli articoli 34 e 35 siano applicati coerentemente con altro diritto dell’Unione e misure di autoregolamentazione applicabili ai fornitori di servizi di trattamento dei dati; |
| i) | la garanzia che le tariffe per il passaggio siano abolite conformemente all’articolo 29; |
| j) | l’esame delle richieste di dati presentate a norma del capo V. |
Laddove designato, il coordinatore dei dati facilita la cooperazione di cui alle lettere f), g) e h), del primo comma e assiste le autorità competenti su loro richiesta.
6. Il coordinatore dei dati, laddove tale autorità competenti sia stata designata:
| a) | funge da punto di contatto unico per tutte le questioni relative all’applicazione del presente regolamento; |
| b) | garantisce che le richieste di messa a disposizione dei dati presentate da enti pubblici in caso di eccezionale necessità a norma del capo V siano pubblicamente disponibili online e promuove accordi di condivisione dei dati volontari tra enti pubblici e titolari dei dati; |
| c) | informa la Commissione, su base annua, dei rifiuti notificati a norma dell’articolo 4, paragrafi 2 e 8, e dell’articolo 5, paragrafo 11. |
7. Gli Stati membri notificano alla Commissione i nomi delle autorità competenti designate e i compiti e poteri e, ove opportuno, il nome del coordinatore dei dati. La Commissione tiene un registro pubblico di tali autorità.
8. Nello svolgimento dei loro compiti e nell’esercizio dei loro poteri conformemente al presente regolamento, le autorità competenti rimangono imparziali, non subiscono alcuna influenza esterna, diretta o indiretta, e non sollecitano né accettano istruzioni, per singoli casi, da altre autorità pubbliche o da privati.
9. Gli Stati membri provvedono affinché le autorità competenti dispongano delle risorse umane e tecniche sufficienti e delle opportune competenze per svolgere efficacemente i propri compiti conformemente al presente regolamento.
10. Le entità che rientrano nell’ambito di applicazione del presente regolamento sono soggette alla competenza dello Stato membro nel quale sono stabilite. Laddove l’entità sia stabilita in più di uno Stato membro, è considerata soggetta alla competenza dello Stato membro in cui ha lo stabilimento principale, ossia dove ha la sua amministrazione centrale o la sua sede sociale da cui esercita le principali funzioni finanziarie e il controllo operativo.
11. Qualsiasi entità rientrante nell’ambito di applicazione del presente regolamento che renda disponibili prodotti connessi o offra servizi correlati nell’Unione e che non sia stabilita nell’Unione designa un rappresentante legale in uno degli Stati membri.
12. Al fine di garantire la conformità al presente regolamento, il rappresentante legale riceve da un’entità rientrante nell’ambito di applicazione del presente regolamento che rende disponibili prodotti connessi o offre servizi correlati nell’Unione il mandato di essere interpellato oltre all’entità stessa o al suo posto dalle autorità competenti per quanto riguarda tutte le questioni relative a tale entità. Il rappresentante legale collabora con le autorità competenti e, su richiesta, dimostra loro in modo esauriente le misure adottate e le disposizioni messe in atto dall’entità rientrante nell’ambito di applicazione del presente regolamento che rende disponibili prodotti connessi o offre servizi correlati nell’Unione per garantire la conformità al presente regolamento.
13. Un’entità rientrante nell’ambito di applicazione del presente regolamento che rende disponibili prodotti connessi o offre servizi correlati nell’Unione è considerata soggetta alla giurisdizione dello Stato membro in cui è situato il suo rappresentante legale. La designazione di un rappresentante legale a cura di tale entità fa salve la responsabilità e le eventuali azioni legali che potrebbero essere promosse contro di essa. Fino a quando l’entità non avrà designato un rappresentante legale a norma del presente articolo, essa sarà soggetta alla competenza di tutti gli Stati membri, se del caso, al fine di garantire l’applicazione ed esecuzione del presente regolamento. Qualsiasi autorità competente può esercitare la propria competenza, anche infliggendo sanzioni effettive, proporzionate e dissuasive, a condizione che l’entità non sia soggetta a procedimenti esecutivi a norma del presente regolamento in relazione agli stessi fatti da parte di un’altra autorità competente.
14. Le autorità competenti hanno il potere di chiedere agli utenti, ai titolari dei dati o ai destinatari dei dati, ovvero ai loro rappresentanti legali, soggetti alla competenza del loro Stato membro tutte le informazioni necessarie a verificare la conformità al presente regolamento. Le richieste di informazioni sono motivate e proporzionate rispetto all’assolvimento del compito di base.
15. Se un’autorità competente di uno Stato membro chiede misure di assistenza o di esecuzione a un’autorità competente di un altro Stato membro, essa presenta una richiesta motivata. Al ricevimento di tale richiesta, l’autorità competente fornisce una risposta in cui si precisano le azioni che sono state adottate o che si prevede di adottare, senza indebito ritardo.
16. Le autorità competenti rispettano il principio di riservatezza e del segreto professionale e commerciale e tutelano i dati personali ai sensi del diritto dell’Unione o nazionale. Tutte le informazioni scambiate nel quadro di una richiesta di assistenza e fornite a norma del presente articolo sono utilizzate solo in relazione alla questione per cui sono state richieste.
Articolo 44
Altri atti giuridici dell’Unione che disciplinano i diritti e gli obblighi in materia di accesso ai dati e relativo utilizzo
1. Restano impregiudicati gli obblighi specifici per la messa a disposizione dei dati tra imprese, tra imprese e consumatori e, in via eccezionale, tra imprese e organismi pubblici contenuti in atti giuridici dell’Unione entrati in vigore il o anteriormente all’11 gennaio 2024 e in atti delegati o di esecuzione basati su tali atti giuridici.
2. Il presente regolamento non pregiudica la normativa dell’Unione che, alla luce delle esigenze di un settore, di uno spazio comune europeo di dati o di un ambito di interesse comune, specifica ulteriori requisiti, in particolare per quanto riguarda:
| a) | gli aspetti tecnici dell’accesso ai dati; |
| b) | le limitazioni ai diritti dei titolari dei dati di accedere a determinati dati forniti dagli utenti o di utilizzarli; |
| c) | gli aspetti che vanno al di là dell’accesso ai dati e del relativo utilizzo. |
3. Il presente regolamento, ad eccezione del capo V, non pregiudica il diritto dell’Unione e nazionale che dispongono l’accesso ai dati e ne autorizzano l’uso a fini di ricerca scientifica.
whereas