Data Act 2023/2854 IT

1. Il compenso concordato tra il titolare dei dati e il destinatario dei dati per la messa a disposizione dei dati nelle relazioni tra imprese è non discriminatorio e ragionevole e può includere un margine.

2. Nel concordare il compenso, il titolare dei dati e il destinatario dei dati tengono conto in particolare:

a)	dei costi sostenuti per mettere a disposizione i dati, compresi in particolare i costi necessari per la formattazione dei dati, la diffusione per via elettronica e l’archiviazione;

b)	degli investimenti nella raccolta e nella produzione di dati, se applicabile, tenendo conto del fatto che altre parti abbiano contribuito o meno a ottenere, generare o raccogliere i dati in questione.

3. Il compenso di cui al paragrafo 1 può dipendere altresì dal volume, dal formato e dalla natura dei dati.

4. Se il destinatario dei dati è una PMI o un’organizzazione di ricerca senza fini di lucro e qualora tale destinatario dei dati non abbia imprese associate o collegate che non si qualificano come PMI, il compenso concordato non supera i costi di cui al paragrafo 2, lettera a).

5. La Commissione adotta orientamenti sul calcolo del compenso ragionevole, tenendo conto del parere del comitato europeo per l’innovazione in materia di dati (edib) di cui all’articolo 42.

6. Il presente articolo non osta a che altre normative dell’Unione o nazionali adottate in conformità del diritto dell’Unione escludano il compenso per la messa a disposizione dei dati o prevedano un compenso inferiore.

7. Il titolare dei dati fornisce al destinatario dei dati informazioni che definiscono la base per il calcolo del compenso in modo sufficientemente dettagliato da consentire al destinatario dei dati di valutare se sono soddisfatti i requisiti di cui ai paragrafi da 1 a 4.

Articolo 32

Accesso governativo e trasferimento internazionali

1. Fatti salvi i paragrafi 2 o 3, i fornitori di servizi di trattamento dei dati adottano tutte le misure tecniche, organizzative e giuridiche appropriate, ivi compresi contratti, al fine di impedire l’accesso governativo internazionale e di paesi terzi ai dati non personali detenuti nell’Unione e il trasferimento dei dati nei casi in cui tale trasferimento o accesso creerebbe un conflitto con il diritto dell’Unione o con il diritto nazionale dello Stato membro interessato.

2. Le decisioni o le sentenze di un organo giurisdizionale di un paese terzo e le decisioni di un’autorità amministrativa di un paese terzo che obbligano un fornitore di servizi di trattamento dei dati a trasferire dati non personali detenuti nell’Unione che rientrano nell’ambito di applicazione del presente regolamento o a concedervi l’accesso sono riconosciute o assumono qualsivoglia carattere esecutivo soltanto se basate su un accordo internazionale in vigore tra il paese terzo richiedente e l’Unione, ad esempio un trattato di mutua assistenza giudiziaria, o su qualsiasi accordo analogo tra il paese terzo richiedente e uno Stato membro.

3. In assenza di un accordo internazionale di cui al paragrafo 2, se un fornitore di servizi di trattamento dei dati è destinatario di una decisione o sentenza di un organo giurisdizionale di un paese terzo o di una decisione di un’autorità amministrativa di un paese terzo che prevede il trasferimento di dati non personali detenuti nell’Unione che rientrano nell’ambito di applicazione del presente regolamento o la concessione dell’accesso a tali dati, e il rispetto di tale decisione rischiasse di porre il destinatario della decisione in conflitto con il diritto dell’Unione o con il diritto nazionale dello Stato membro interessato, il trasferimento di tali dati o l’accesso agli stessi da parte di tale autorità del paese terzo ha luogo solo se:

a)	il sistema del paese terzo richiede che siano indicati i motivi e la proporzionalità di siffatta decisione o sentenza, e che tale decisione o sentenza abbia carattere specifico, ad esempio stabilendo un nesso sufficiente con determinate persone sospettate o determinate violazioni;

b)	l’obiezione motivata del destinatario è oggetto di esame da parte di un organo giurisdizionale competente del paese terzo; e

l’organo giurisdizionale competente del paese terzo che emette la decisione o la sentenza o esamina la decisione di un’autorità amministrativa ha il potere, in virtù del diritto di tale paese terzo, di tenere debitamente conto dei pertinenti interessi giuridici del fornitore dei dati tutelati a norma del diritto dell’Unione o dal diritto nazionale dello Stato membro interessato.

Il destinatario della decisione o della sentenza può chiedere il parere del pertinente organismo o autorità nazionale competente per la cooperazione giudiziaria internazionale, al fine di determinare se tali condizioni di cui al primo comma sono soddisfatte, in particolare quando ritiene che la decisione possa riguardare segreti commerciali e altri dati commercialmente sensibili, nonché contenuti protetti da diritti di proprietà intellettuale, o che il trasferimento possa portare alla reidentificazione. L’organismo o l’autorità nazionale pertinente può consultare la Commissione. Se ritiene che la decisione o la sentenza possa incidere sugli interessi di sicurezza nazionale o di difesa dell’Unione o dei suoi Stati membri, il destinatario chiede il parere dell’organismo o dell’autorità nazionale competente al fine di determinare se i dati richiesti riguardino interessi di sicurezza nazionale o di difesa dell’Unione o dei suoi Stati membri. Se non ha ricevuto risposta entro un mese, o se il parere di tale organismo o autorità conclude che non sono soddisfatte le condizioni di cui al primo comma, il destinatario può respingere la richiesta di trasferimento o di accesso a dati non personali per tali motivi.

L’edib di cui all’articolo 42 fornisce consulenza e assistenza alla Commissione nell’elaborazione di orientamenti sulla valutazione del rispetto delle condizioni di cui al primo comma del presente paragrafo.

4. Se le condizioni stabilite ai paragrafi 2 o 3 sono rispettate, il fornitore di servizi di trattamento dei dati fornisce la quantità minima di dati ammissibile in risposta a una richiesta, sulla base dell’interpretazione ragionevole di tale richiesta da parte del fornitore o dell’organismo o dell’autorità nazionali competenti di cui al paragrafo 3, secondo comma.

5. Il fornitore di servizi di trattamento dei dati informa il consumatore dell’esistenza di una richiesta di accesso ai suoi dati da parte di un’autorità di un paese terzo prima di dare seguito a tale richiesta, tranne se la richiesta abbia fini di contrasto e per il tempo necessario a preservare l’efficacia dell’attività di contrasto.

CAPO VIII

INTEROPERABILITÀ

Articolo 33

Requisiti essenziali in materia di interoperabilità dei dati, dei meccanismi e servizi di condivisione dei dati nonché degli spazi comuni europei di dati

1. Per facilitare l’ interoperabilità dei dati , dei meccanismi e servizi di condivisione dei dati nonché degli spazi comuni europei di dati, che costituiscono quadri interoperabili per scopi specifici, settoriali o intersettoriali di norme e prassi comuni per condividere o trattare congiuntamente i dati, anche per lo sviluppo di nuovi prodotti e servizi, della ricerca scientifica o di iniziative della società civile, i partecipanti agli spazi di dati che offrono dati o servizi di dati ad altri partecipanti rispettano i requisiti essenziali seguenti:

il contenuto degli insiemi di dati, le restrizioni all’uso, le licenze, la metodologia di raccolta dei dati e la qualità e l’incertezza dei dati sono descritti, se del caso in un formato leggibile da dispositivo automatico, in modo sufficiente a consentire al destinatario di trovare i dati, accedervi e utilizzarli;

b)	le strutture e i formati dei dati, i vocabolari, gli schemi di classificazione, le tassonomie e gli elenchi dei codici, se disponibili, sono descritti in modo accessibile al pubblico e coerente;

i mezzi tecnici per accedere ai dati, quali le interfacce di programmazione delle applicazioni (API), e le relative condizioni d’uso e di qualità del servizio sono descritti in modo sufficiente a consentire l’accesso automatico ai dati e la relativa trasmissione automatica tra le parti, anche in modo continuo, in download in blocco o in tempo reale, in un formato leggibile da dispositivo automatico, qualora tecnicamente fattibile e non di ostacolo al buon funzionamento del prodotto_connesso;

d)	se del caso, sono forniti i mezzi per consentire l’ interoperabilità degli strumenti concepiti per automatizzare l’esecuzione degli accordi di condivisione dei dati, ad esempio i contratti intelligenti.

Tali requisiti possono avere carattere generico o riguardare settori specifici, tenendo pienamente conto dell’interrelazione con i requisiti derivanti dal diritto dell’Unione o nazionale.

2. Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 45 per integrare il presente regolamento specificando ulteriormente i requisiti essenziali di cui al paragrafo 1 del presente articolo, in relazione ai requisiti che, per loro natura, non sono in grado di produrre l’effetto atteso a meno che non siano ulteriormente specificati in atti giuridici vincolanti dell’Unione e al fine di riflettere adeguatamente gli sviluppi tecnologici e di mercato.

La Commissione, quando adotta atti delegati, tiene conto dei pareri dell’edib conformemente all’articolo 42, lettera c), punto iii).

3. Si presume che i partecipanti agli spazi di dati che offrono dati o servizi di dati ad altri partecipanti agli spazi di dati che soddisfano le norme armonizzate o parti di esse, i cui riferimenti sono pubblicati nella Gazzetta ufficiale dell’Unione europea, siano conformi ai requisiti essenziali di cui al paragrafo 1 nella misura in cui tali requisiti sono contemplati da tali norme armonizzate o parti di esse.

4. Conformemente all’articolo 10 del regolamento (UE) n. 1025/2012, la Commissione chiede a una o più organizzazioni europee di normazione di elaborare norme armonizzate che soddisfino i requisiti essenziali di cui al paragrafo 1 del presente articolo.

5. La Commissione può adottare, mediante atti di esecuzione, specifiche_comuni che contemplino uno o tutti i requisiti essenziali di cui al paragrafo 1 laddove siano state soddisfatte le condizioni seguenti:

la Commissione ha chiesto, a norma dell’articolo 10, paragrafo 1, del regolamento (UE) n. 1025/2012, a una o più organizzazioni europee di normazione di elaborare una norma_armonizzata che soddisfi i requisiti essenziali di cui al paragrafo 1 del presente articolo e:

i)	la richiesta non è stata accettata;

ii)	le norme armonizzate che rispondono a tale richiesta non sono ultimati entro una determinata scadenza a norma dell’articolo 10, paragrafo 1, del regolamento (UE) n. 1025/2012; oppure

iii)	le norme armonizzate non sono conformi alla richiesta; e

nessun riferimento a norme armonizzate che contemplino i requisiti essenziali pertinenti di cui al paragrafo 1 del presente articolo è pubblicato nella Gazzetta ufficiale dell’Unione europea conformemente al regolamento (UE) n. 1025/2012 e non si prevede la pubblicazione di tale riferimento entro un termine ragionevole.

Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 46, paragrafo 2.

6. Prima di preparare un progetto di atto di esecuzione di cui al paragrafo 5 del presente articolo, la Commissione comunica al comitato di cui all’articolo 22 del regolamento (UE) n. 1025/2012 che ritiene soddisfatte le condizioni di cui al paragrafo 5 del presente articolo.

7. Nel preparare il progetto di atto di esecuzione di cui al paragrafo 5, la Commissione tiene conto dei pareri del edib e di altri organismi o gruppi di esperti pertinenti e consulta debitamente tutti i pertinenti portatori di interessi.

8. Si presume che i partecipanti agli spazi di dati che offrono dati o servizi di dati ad altri partecipanti agli spazi di dati che soddisfano le specifiche_comuni stabilite da atti di esecuzione di cui al paragrafo 5 o parti di essi siano conformi ai requisiti essenziali di cui al paragrafo 1 nella misura in cui tali requisiti sono contemplati da tali specifiche_comuni o parti di esse.

9. Qualora una norma_armonizzata sia adottata da un’organizzazione europea di normazione e proposta alla Commissione ai fini della pubblicazione del suo riferimento nella Gazzetta ufficiale dell’Unione europea, la Commissione valuta la norma_armonizzata conformemente al regolamento (UE) n. 1025/2012. Qualora il riferimento di una norma_armonizzata sia pubblicato nella Gazzetta ufficiale dell’Unione europea, la Commissione abroga gli atti di esecuzione di cui al paragrafo 5 del presente articolo o parti di essi, che riguardano gli stessi requisiti essenziali contemplati da tali norme armonizzate.

10. Qualora uno Stato membro ritenga che una specifica comune non soddisfi completamene i requisiti essenziali di cui al paragrafo 1, esso ne informa la Commissione presentando una spiegazione dettagliata. La Commissione valuta tale spiegazione dettagliata e, se del caso, può modificare l’atto di esecuzione che stabilisce la specifica comune in questione.

11. La Commissione può adottare orientamenti, tenendo conto della proposta dell’edib conformemente all’articolo 30, lettera h), del regolamento (UE) 2022/868, che stabiliscono quadri interoperabili di norme e prassi comuni per il funzionamento degli spazi comuni europei di dati.

Articolo 36

Requisiti essenziali relativi ai contratti intelligenti per l’esecuzione degli accordi di condivisione dei dati

1. Il venditore di applicazioni che utilizzano contratti intelligenti o, in sua assenza, la persona la cui attività commerciale, imprenditoriale o professionale comporti l’implementazione di contratti intelligenti per altri nel contesto dell’esecuzione di un accordo, o parte di esso, di messa a disposizione dei dati, assicura che tali contratti intelligenti rispettino i requisiti essenziali seguenti:

a)	robustezza e controllo dell’accesso, garantire che il contratto_intelligente sia stato progettato in modo da offrire meccanismi di controllo dell’accesso e un grado di robustezza molto elevato per evitare errori funzionali e resistere alla manipolazione di terzi;

cessazione e interruzione sicure, per garantire che esista un meccanismo per cessare l’esecuzione continua delle transazioni e che contratto_intelligente comprenda funzioni interne che possano reimpostarlo o trasmettergli l’istruzione di fermare o interrompere il proprio funzionamento, in particolare per evitare esecuzioni accidentali future;

archiviazione e continuità dei dati, per garantire, nel caso in cui si debba procedere alla risoluzione o alla disattivazione di un contratto_intelligente, che vi sia la possibilità di archiviare i dati relativi alle transazioni nonché la logica e il codice del contratto_intelligente al fine di tenere traccia delle operazioni effettuate sui dati in passato (verificabilità);

d)	controllo dell’accesso, per garantire che un contratto_intelligente sia protetto mediante meccanismi rigorosi di controllo dell’accesso sul piano della governance e del contratto_intelligente; e

e)	coerenza, per garantire che si intende la coerenza con le clausole dell’accordo di condivisione dei dati che il contratto_intelligente esegue.

2. Il venditore di contratti intelligenti o, in sua assenza, la persona la cui attività commerciale, imprenditoriale o professionale comporti l’implementazione di contratti intelligenti per altri nel contesto dell’esecuzione di un accordo, o parte di esso, di messa a disposizione dei dati effettua una valutazione della conformità al fine di soddisfare i requisiti essenziali di cui al paragrafo 1 e, se tali requisiti sono soddisfatti, rilascia una dichiarazione di conformità UE.

3. Con la dichiarazione di conformità UE il venditore di applicazioni che utilizzano contratti intelligenti o, in sua assenza, la persona la cui attività commerciale, imprenditoriale o professionale comporti l’implementazione di contratti intelligenti per altri nel contesto dell’implementazione di un accordo, o parte di esso, di messa a disposizione dei dati, è responsabile del rispetto dei requisiti essenziali di cui al paragrafo 1.

4. Si presume che un contratto_intelligente che soddisfa le norme armonizzate o le pertinenti parti di tali norme, i cui riferimenti sono pubblicati nella Gazzetta ufficiale dell’Unione europea, sia conforme ai requisiti essenziali di cui al paragrafo 1 del presente articolo nella misura in cui tali requisiti sono contemplati da tali norme armonizzate o parti di esse.

5. Ai sensi dell’articolo 10 del regolamento (UE) n. 1025/2012, la Commissione chiede a una o più organizzazioni europee di normazione di elaborare norme armonizzate che soddisfino i requisiti essenziali di cui al paragrafo 1 del presente articolo.

6. La Commissione può adottare, mediante atti di esecuzione, specifiche_comuni che contemplino una o tutti i requisiti essenziali di cui al paragrafo 1 laddove siano state soddisfatte le condizioni seguenti:

i)	la richiesta non è stata accettata,

ii)	le norme armonizzate che rispondono a tale richiesta non sono ultimati entro una determinata scadenza a norma dell’articolo 10, paragrafo 1, del regolamento (UE) n. 1025/2012, oppure

iii)	le norme armonizzate non sono conformi alla richiesta; e

Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 46, paragrafo 2.

7. Prima di preparare un progetto di atto di esecuzione di cui al paragrafo 6 del presente articolo, la Commissione comunica al comitato di cui all’articolo 22 del regolamento (UE) n. 1025/2012 che ritiene soddisfatte le condizioni di cui al paragrafo 6 del presente articolo.

8. Nel preparare il progetto di atto di esecuzione di cui al paragrafo 6, la Commissione tiene conto dei pareri del edib e di altri organismi o gruppi di esperti pertinenti e consulta debitamente tutti i pertinenti portatori di interessi.

9. Si presume che il venditore di contratti intelligenti o, in sua assenza, la persona la cui attività commerciale, imprenditoriale o professionale comporti l’implementazione di contratti intelligenti per altri nel contesto dell’implementazione di un accordo, o parte di esso, di messa a disposizione dei dati che soddisfano le specifiche_comuni stabilite da atti di esecuzione di cui al paragrafo 5 o parti di essi sia conforme ai requisiti essenziali di cui al paragrafo 1 nella misura in cui tali requisiti sono contemplati da tali specifiche_comuni o parti di esse.

10. Qualora una norma_armonizzata sia adottata da un’organizzazione europea di normazione e proposta alla Commissione al fine di pubblicare il suo riferimento nella Gazzetta ufficiale dell’Unione europea, la Commissione valuta la norma_armonizzata conformemente al regolamento (UE) n. 1025/2012. Qualora il riferimento di una norma_armonizzata sia pubblicato nella Gazzetta ufficiale dell’Unione europea, la Commissione abroga gli atti di esecuzione di cui al paragrafo 6 del presente articolo, o parti di essi, che riguardano gli stessi requisiti essenziali contemplati da tali norme armonizzate.

11. Qualora uno Stato membro ritenga che una specifica comune non soddisfi completamene i requisiti essenziali di cui al paragrafo 1, esso ne informa la Commissione presentando una spiegazione dettagliata. La Commissione valuta tale spiegazione dettagliata e, se del caso, modifica l’atto di esecuzione che stabilisce la specifica comune in questione.

CAPO IX

ATTUAZIONE ED ESECUZIONE

Articolo 37

Autorità competenti e coordinatori dei dati

1. Ciascuno Stato membro designa una o più autorità competenti incaricate dell’applicazione e dell’esecuzione del presente regolamento (autorità competenti). Gli Stati membri possono istituire una o più nuove autorità o fare affidamento sulle autorità esistenti.

2. Qualora uno Stato membro designi più di un’autorità competente, tra di esse designa un coordinatore dei dati per facilitare la cooperazione tra le autorità competenti e per assistere le entità che rientrano nell’ambito di applicazione del presente regolamento su tutte le questioni relative alla sua applicazione ed esecuzione. Le autorità competenti, nell’esercizio dei compiti e dei poteri ad esse assegnati a norma del paragrafo 5, cooperano tra loro.

3. Le autorità di controllo incaricate di sorvegliare l’applicazione del regolamento (UE) 2016/679 sono incaricate di sorvegliare l’applicazione del presente regolamento per quanto riguarda la protezione dei dati personali. I capi VI e VII del regolamento (UE) 2016/679 si applicano mutatis mutandis.

Il Garante europeo della protezione dei dati è incaricato di monitorare l’applicazione del presente regolamento nella misura in cui riguarda la Commissione, la Banca centrale europea o gli organismi_dell’Unione. Ove pertinente, l’articolo 62 del regolamento (UE) 2018/1725 si applica mutatis mutandis.

I compiti e i poteri delle autorità di controllo di cui al presente paragrafo sono esercitati in relazione al trattamento dei dati personali.

4. Fatto salvo il paragrafo 1 del presente articolo:

a)	per questioni specifiche concernenti l’accesso ai dati settoriali e il loro utilizzo relative all’attuazione del presente regolamento è rispettata la competenza delle autorità settoriali;

b)	l’autorità competente incaricata dell’applicazione e dell’esecuzione degli articoli da 23 a 31 e degli articoli 34 e 35 ha esperienza nel campo dei dati e dei servizi di comunicazioni elettroniche.

5. Gli Stati membri provvedono affinché i compiti e poteri delle autorità competenti siano chiaramente definiti e comprendano:

a)	la promozione dell’ alfabetizzazione_in_materia_di_ dati e la sensibilizzazione degli utenti e delle entità che rientrano nell’ambito di applicazione del presente regolamento in merito ai diritti e agli obblighi a norma del presente regolamento;

il trattamento dei reclami derivanti da presunte violazioni del presente regolamento, anche in relazione a segreti commerciali, lo svolgimento di indagini, nella misura appropriata, sull’oggetto dei reclami e la periodica trasmissione di informazioni ai reclamanti, conformemente al diritto nazionale se del caso, in merito allo stato e all’esito delle indagini entro un termine ragionevole, in particolare ove siano necessari ulteriori indagini o il coordinamento con un’altra autorità competente;

c)	lo svolgimento di indagini su questioni relative all’applicazione del presente regolamento, anche sulla base di informazioni ricevute da un’altra autorità competente o da un’altra autorità pubblica;

d)	l’inflizione di sanzioni pecuniarie effettive, proporzionate e dissuasive che possono includere sanzioni periodiche e sanzioni con effetto retroattivo, o l’avvio di procedimenti giudiziari per l’inflizione di ammende;

e)	il monitoraggio degli sviluppi tecnologici e dei pertinenti sviluppi commerciali rilevanti per la messa a disposizione e l’utilizzo dei dati;

la cooperazione con le autorità competenti di altri Stati membri e, ove opportuno, con la Commissione o l’edib per garantire l’applicazione coerente ed efficiente del presente regolamento, compreso lo scambio di tutte le informazioni pertinenti per via elettronica, senza indebito ritardo, anche per quanto riguarda il paragrafo 10 del presente articolo;

la cooperazione con le autorità competenti pertinenti incaricate dell’attuazione di altri atti giuridici dell’Unione o nazionali, comprese le autorità competenti nel campo dei dati e dei servizi di comunicazioni elettroniche, l’autorità di controllo incaricata di sorvegliare l’applicazione del regolamento (UE) 2016/679 o le autorità settoriali, per garantire che il presente regolamento sia applicato coerentemente con il diritto dell’Unione e nazionale;

h)	la cooperazione con le autorità competenti pertinenti per garantire che gli articoli da 23 a 31 e gli articoli 34 e 35 siano applicati coerentemente con altro diritto dell’Unione e misure di autoregolamentazione applicabili ai fornitori di servizi di trattamento dei dati;

i)	la garanzia che le tariffe per il passaggio siano abolite conformemente all’articolo 29;

j)	l’esame delle richieste di dati presentate a norma del capo V.

Laddove designato, il coordinatore dei dati facilita la cooperazione di cui alle lettere f), g) e h), del primo comma e assiste le autorità competenti su loro richiesta.

6. Il coordinatore dei dati, laddove tale autorità competenti sia stata designata:

a)	funge da punto di contatto unico per tutte le questioni relative all’applicazione del presente regolamento;

b)	garantisce che le richieste di messa a disposizione dei dati presentate da enti pubblici in caso di eccezionale necessità a norma del capo V siano pubblicamente disponibili online e promuove accordi di condivisione dei dati volontari tra enti pubblici e titolari dei dati;

c)	informa la Commissione, su base annua, dei rifiuti notificati a norma dell’articolo 4, paragrafi 2 e 8, e dell’articolo 5, paragrafo 11.

7. Gli Stati membri notificano alla Commissione i nomi delle autorità competenti designate e i compiti e poteri e, ove opportuno, il nome del coordinatore dei dati. La Commissione tiene un registro pubblico di tali autorità.

8. Nello svolgimento dei loro compiti e nell’esercizio dei loro poteri conformemente al presente regolamento, le autorità competenti rimangono imparziali, non subiscono alcuna influenza esterna, diretta o indiretta, e non sollecitano né accettano istruzioni, per singoli casi, da altre autorità pubbliche o da privati.

9. Gli Stati membri provvedono affinché le autorità competenti dispongano delle risorse umane e tecniche sufficienti e delle opportune competenze per svolgere efficacemente i propri compiti conformemente al presente regolamento.

10. Le entità che rientrano nell’ambito di applicazione del presente regolamento sono soggette alla competenza dello Stato membro nel quale sono stabilite. Laddove l’entità sia stabilita in più di uno Stato membro, è considerata soggetta alla competenza dello Stato membro in cui ha lo stabilimento principale, ossia dove ha la sua amministrazione centrale o la sua sede sociale da cui esercita le principali funzioni finanziarie e il controllo operativo.

11. Qualsiasi entità rientrante nell’ambito di applicazione del presente regolamento che renda disponibili prodotti connessi o offra servizi correlati nell’Unione e che non sia stabilita nell’Unione designa un rappresentante legale in uno degli Stati membri.

12. Al fine di garantire la conformità al presente regolamento, il rappresentante legale riceve da un’entità rientrante nell’ambito di applicazione del presente regolamento che rende disponibili prodotti connessi o offre servizi correlati nell’Unione il mandato di essere interpellato oltre all’entità stessa o al suo posto dalle autorità competenti per quanto riguarda tutte le questioni relative a tale entità. Il rappresentante legale collabora con le autorità competenti e, su richiesta, dimostra loro in modo esauriente le misure adottate e le disposizioni messe in atto dall’entità rientrante nell’ambito di applicazione del presente regolamento che rende disponibili prodotti connessi o offre servizi correlati nell’Unione per garantire la conformità al presente regolamento.

13. Un’entità rientrante nell’ambito di applicazione del presente regolamento che rende disponibili prodotti connessi o offre servizi correlati nell’Unione è considerata soggetta alla giurisdizione dello Stato membro in cui è situato il suo rappresentante legale. La designazione di un rappresentante legale a cura di tale entità fa salve la responsabilità e le eventuali azioni legali che potrebbero essere promosse contro di essa. Fino a quando l’entità non avrà designato un rappresentante legale a norma del presente articolo, essa sarà soggetta alla competenza di tutti gli Stati membri, se del caso, al fine di garantire l’applicazione ed esecuzione del presente regolamento. Qualsiasi autorità competente può esercitare la propria competenza, anche infliggendo sanzioni effettive, proporzionate e dissuasive, a condizione che l’entità non sia soggetta a procedimenti esecutivi a norma del presente regolamento in relazione agli stessi fatti da parte di un’altra autorità competente.

14. Le autorità competenti hanno il potere di chiedere agli utenti, ai titolari dei dati o ai destinatari dei dati, ovvero ai loro rappresentanti legali, soggetti alla competenza del loro Stato membro tutte le informazioni necessarie a verificare la conformità al presente regolamento. Le richieste di informazioni sono motivate e proporzionate rispetto all’assolvimento del compito di base.

15. Se un’autorità competente di uno Stato membro chiede misure di assistenza o di esecuzione a un’autorità competente di un altro Stato membro, essa presenta una richiesta motivata. Al ricevimento di tale richiesta, l’autorità competente fornisce una risposta in cui si precisano le azioni che sono state adottate o che si prevede di adottare, senza indebito ritardo.

16. Le autorità competenti rispettano il principio di riservatezza e del segreto professionale e commerciale e tutelano i dati personali ai sensi del diritto dell’Unione o nazionale. Tutte le informazioni scambiate nel quadro di una richiesta di assistenza e fornite a norma del presente articolo sono utilizzate solo in relazione alla questione per cui sono state richieste.

Articolo 40

Sanzioni

1. Gli Stati membri stabiliscono le norme relative alle sanzioni da applicare in caso di violazione del presente regolamento e adottano tutte le misure necessarie per assicurarne l’applicazione. Le sanzioni previste devono essere effettive, proporzionate e dissuasive.

2. Gli Stati membri notificano tali norme e misure alla Commissione entro il 12 settembre 2025 e provvedono poi a dare immediata notifica delle eventuali modifiche successive. La Commissione tiene e aggiorna regolarmente un registro pubblico facilmente accessibile di tali misure.

3. Per l’inflizione delle sanzioni da applicare in caso di violazioni del presente regolamento, gli Stati membri tengono conto delle raccomandazioni dell’edib e dei criteri non esaustivi seguenti:

a)	la natura, la gravità, l’entità e la durata della violazione;

b)	eventuali azioni intraprese dall’autore della violazione per attenuare il danno causato dalla violazione o porvi rimedio;

c)	eventuali violazioni commesse in precedenza dall’autore della violazione;

d)	i vantaggi finanziari ottenuti o le perdite evitate dall’autore della violazione in ragione della violazione, nella misura in cui tali vantaggi o perdite possano essere determinati in modo attendibile;

e)	eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso;

f)	il fatturato annuo nell’Unione nell’esercizio precedente dell’autore della violazione.

4. Per l’inosservanza degli obblighi di cui ai capi II, III e V del presente regolamento, le autorità di controllo responsabili del controllo dell’applicazione del regolamento (UE) 2016/679 possono, nei limiti delle proprie competenze, infliggere sanzioni amministrative pecuniarie in conformità dell’articolo 83 del regolamento (UE) 2016/679 a concorrenza dell’importo di cui al paragrafo 5 del medesimo articolo.

5. Per l’inosservanza degli obblighi di cui al capo V del presente regolamento, il Garante europeo della protezione dei dati può, nei limiti delle proprie competenze, infliggere sanzioni amministrative pecuniarie conformemente all’articolo 66 del regolamento (UE) 2018/1725 a concorrenza dell’importo di cui al paragrafo 3 del medesimo articolo.

Articolo 42

Ruolo dell’edib

L’edib, istituito dalla Commissione come gruppo di esperti a norma dell’articolo 29 del regolamento (UE) 2022/868 e in cui sono rappresentate le autorità competenti, sostiene l’applicazione coerente del presente regolamento:

a)	consigliando e assistendo la Commissione nello sviluppo di una prassi coerente delle autorità competenti nell’esecuzione dei capi II, III, V e VII;

facilitando la cooperazione tra le autorità competenti attraverso lo sviluppo di capacità e lo scambio di informazioni, in particolare stabilendo metodi per lo scambio efficiente di informazioni relative all’esecuzione dei diritti e degli obblighi di cui ai capi II, III e V in casi transfrontalieri, compreso il coordinamento in merito alla fissazione di sanzioni;

consigliando e assistendo la Commissione per quanto riguarda:

i)	l’eventuale richiesta di elaborazione delle norme armonizzate di cui all’articolo 33, paragrafo 4, all’articolo 35, paragrafo 4, e all’articolo 36, paragrafo 5;

ii)	la predisposizione dei progetti di atti di esecuzione di cui all’articolo 33, paragrafo 5, all’articolo 35, paragrafi 5 e 8, e all’articolo 36, paragrafo 6;

iii)	la predisposizione degli atti delegati di cui all’articolo 29, paragrafo 7, e all’articolo 33, paragrafo 2; e

iv)	l’adozione degli orientamenti che stabiliscono quadri interoperabili di norme e prassi comuni per il funzionamento degli spazi comuni europei di dati di cui all’articolo 33, paragrafo 11.

CAPO X

DIRITTO « SUI GENERIS » A NORMA DELLA DIRETTIVA 96/9/CE

whereas

keyboard_tab Data Act 2023/2854 IT

Data Act 2023/2854 IT