keyboard_tab Data Act 2023/2854 IT
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Articolo 4 Diritti e obblighi degli utenti e dei titolari dei dati per l’accesso, l’utilizzo e la messa a disposizione dei dati del prodotto e del servizio correlato
- 1 Articolo 5 Diritto dell’utente di condividere i dati con terzi
- 1 Articolo 30 Aspetti tecnici del passaggio
- 1 Articolo 31 Regime specifico per taluni servizi di trattamento dei dati
- 1 Articolo 33 Requisiti essenziali in materia di interoperabilità dei dati, dei meccanismi e servizi di condivisione dei dati nonché degli spazi comuni europei di dati
- 1 Articolo 36 Requisiti essenziali relativi ai contratti intelligenti per l’esecuzione degli accordi di condivisione dei dati
- 2 Articolo 37 Autorità competenti e coordinatori dei dati
CAPO I
DISPOSIZIONI GENERALI
CAPO II
CONDIVISIONE DEI DATI DA IMPRESA A CONSUMATORE E DA IMPRESA A IMPRESA
CAPO III
OBBLIGHI PER I TITOLARI DEI DATI TENUTI A METTERE A DISPOSIZIONE I DATI A NORMA DEL DIRITTO DELL’UNIONE
CAPO IV
CLAUSOLE CONTRATTUALI ABUSIVE RELATIVE ALL’ACCESSO AI DATI E AL RELATIVO UTILIZZO TRA IMPRESE
CAPO V
METTERE I DATI A DISPOSIZIONE DI ENTI PUBBLICI, DELLA COMMISSIONE, DELLA BANCA CENTRALE EUROPEA E DI ORGANISMI DELL’UNIONE SULLA BASE DI NECESSITÀ ECCEZIONALI
CAPO VI
PASSAGGIO TRA SERVIZI DI TRATTAMENTO DEI DATI
CAPO VII
ACCESSO GOVERNATIVO E TRASFERIMENTO INTERNAZIONALI DI DATI NON PERSONALI
CAPO VIII
INTEROPERABILITÀ
CAPO IX
ATTUAZIONE ED ESECUZIONE
CAPO X
DIRITTO « SUI GENERIS » A NORMA DELLA DIRETTIVA 96/9/CE
CAPO XI
DISPOSIZIONI FINALI
- alfabetizzazione in materia di dati
- dati
- metadati
- dati personali
- dati non personali
- prodotto connesso
- servizio correlato
- trattamento
- servizio di trattamento dei dati
- stesso tipo di servizio
- servizio di intermediazione dei dati
- interessato
- utente
- titolare dei dati
- destinatario dei dati
- dati del prodotto
- dati di un servizio correlato
- dati prontamente disponibili
- segreto commerciale
- detentore del segreto commerciale
- profilazione
- messa a disposizione sul mercato
- immissione sul mercato
- consumatore
- impresa
- piccola impresa
- microimpresa
- organismi dell’Unione
- ente pubblico
- emergenza pubblica
- cliente
- assistenti virtuali
- risorse digitali
- infrastruttura TIC locale
- passaggio
- tariffe di uscita dei dati
- tariffe di passaggio
- equivalenza funzionale
- dati esportabili
- contratto intelligente
- interoperabilità
- specifica di interoperabilità aperta
- specifiche comuni
- norma armonizzata
- dati 185
- presente 61
- regolamento 49
- paragrafo 45
- servizi 40
- titolare 37
- utente 37
- autorità 33
- requisiti 32
- norma 30
- trattamento 26
- norme 24
- l’ 24
- essenziali 23
- dell’articolo 22
- all’articolo 22
- richiesta 21
- esecuzione 21
- terzo 20
- commerciali 20
- competenti 19
- dell’unione 19
- competente 17
- caso 17
- armonizzate 17
- conformemente 16
- segreti 15
- pertinenti 15
- misure 15
- disposizione 15
- condivisione 15
- informazioni 15
- modo 14
- membro 14
- diritto 13
- atti 13
- qualora 13
- n / 12
- fine 12
- europea 12
- riservatezza 12
- garantire 11
- contratti 11
- titolari 11
- terzi 11
- conformità 11
- personali 11
- dell’ 11
- parti 11
- disponibili 11
Articolo 4
Diritti e obblighi degli utenti e dei titolari dei dati per l’accesso, l’utilizzo e la messa a disposizione dei dati del prodotto e del servizio_correlato
1. Qualora l’ utente non possa accedere direttamente ai dati a partire dal prodotto_connesso o dal servizio_correlato, i titolari dei dati mettono prontamente a disposizione dell’ utente i dati, nonché i pertinenti meta dati necessari per interpretare e utilizzare tali dati senza indebito ritardo, con la stessa qualità di cui dispone il titolare dei dati, in modo facile, sicuro, gratuitamente, in un formato completo, strutturato, di uso comune e leggibile da dispositivo automatico e, ove pertinente e tecnicamente possibile, modo continuo e in tempo reale. Ciò avviene sulla base di una semplice richiesta mediante mezzi elettronici, ove tecnicamente fattibile.
2. Gli utenti e i titolari dei dati possono limitare o vietare contrattualmente l’accesso ai dati, il loro uso o la loro ulteriore condivisione nel caso in cui tale trattamento possa compromettere i requisiti di sicurezza del prodotto_connesso, come previsto dal diritto dell’Unione o nazionale, e comportare gravi effetti negativi per la salute, la sicurezza o la protezione delle persone fisiche. Le autorità settoriali possono fornire agli utenti e ai titolari dei dati competenze tecniche in tale contesto. Qualora rifiuti di condividere i dati ai sensi del presente articolo, il titolare dei dati notifica l’autorità competente designata ai sensi dell’articolo 37.
3. Fatto salvo il diritto dell’ utente di presentare ricorso in qualsiasi momento dinanzi a un organo giurisdizionale di uno Stato membro, in caso di eventuale controversia con il titolare dei dati relativamente a limitazioni o divieti contrattuali di cui al paragrafo 2 l’ utente può:
| a) | presentare, conformemente all’articolo 37, paragrafo 5, lettera b), un reclamo all’autorità competente; o |
| b) | convenire con il titolare dei dati di deferire la questione a un organismo di risoluzione delle controversie in conformità dell’articolo 10, paragrafo 1. |
4. I titolari dei dati non rendono indebitamente difficile l’esercizio delle scelte o dei diritti degli utenti a norma del presente articolo, ad esempio offrendo loro scelte in modo non neutrale o compromettendo o pregiudicando l’autonomia, il processo decisionale o le scelte dell’ utente attraverso la struttura, la progettazione, le funzioni o il funzionamento di un’interfaccia utente digitale o di una sua parte.
5. Al fine di verificare se una persona fisica o giuridica si possa considerare un utente ai fini del paragrafo 1, un titolare dei dati non impone a tale persona di fornire informazioni al di là di quanto necessario . I titolari dei dati non conservano informazioni, in particolare dati di registro, sull’accesso dell’ utente ai dati richiesti al di là di quanto necessario per la corretta esecuzione della richiesta di accesso dell’ utente e per la sicurezza e la manutenzione dell’infrastruttura di dati.
6. I segreti commerciali sono conservati e comunicati solo a condizione che prima della comunicazione il titolare dei dati e l’ utente adottino tutte le misure necessarie per tutelarne la riservatezza, in particolare rispetto a terzi. Il titolare dei dati o, qualora non si tratti della stessa persona, il detentore del segreto_commerciale individua i dati protetti quali segreti commerciali, anche nei pertinenti meta dati, e concorda con l’ utente le misure tecniche e organizzative proporzionate necessarie a preservare la riservatezza dei dati condivisi, in particolare rispetto a terzi, quali clausole contrattuali tipo, accordi di riservatezza, protocolli di accesso rigorosi, norme tecniche e l’applicazione di codici di condotta.
7. In assenza di accordo sulle misure necessarie di cui al paragrafo 6 o qualora l’ utente non attui le misure concordate a norma del paragrafo 6 o pregiudichi la riservatezza dei segreti commerciali, il titolare dei dati può bloccare o, se del caso, sospendere la condivisione dei dati identificati come segreti commerciali. La decisione del titolare dei dati è debitamente motivata e fornita all’ utente per iscritto e senza indebito ritardo. In tali casi il titolare dei dati notifica all’autorità competente designata a norma dell’articolo 37 di aver bloccato o sospeso la condivisione dei dati e indica quali misure non sono state concordate o attuate e, se del caso, di quali segreti commerciali è stata pregiudicata la riservatezza.
8. In circostanze eccezionali, qualora il titolare dei dati che è detentore di un segreto_commerciale possa dimostrare che subirà molto probabilmente gravi danni economici a causa della divulgazione di segreti commerciali, malgrado le misure tecniche e organizzative adottate dall’ utente a norma del paragrafo 6 del presente articolo, detto titolare dei dati può rifiutare di volta in volta una richiesta di accesso ai dati specifici in questione. Tale dimostrazione è debitamente motivata sulla base di elementi oggettivi, in particolare l’applicabilità della protezione dei segreti commerciali in paesi terzi, la natura e il livello di riservatezza dei dati richiesti nonché l’unicità e la novità del prodotto_connesso, ed è fornita per iscritto all’ utente e senza indebito ritardo. Qualora rifiutasse di condividere i dati ai sensi del presente paragrafo, il titolare dei dati notifica l’autorità competente designata a norma dell’articolo 37.
9. Fatto salvo il diritto di un utente di presentare ricorso in qualsiasi momento dinanzi a un organo giurisdizionale di uno Stato membro, un utente che intenda contestare la decisione di un titolare dei dati di rifiutare, o di bloccare o sospendere la condivisione di dati a norma dei paragrafi 7 e 8 può:
| a) | presentare, conformemente all’articolo 37, paragrafo 5, lettera b), un reclamo all’autorità competente che decide senza indebito ritardo se e a quali condizioni debba iniziare o riprendere la condivisione dei dati; o |
| b) | convenire con il titolare dei dati di deferire la questione a un organismo di risoluzione delle controversie in conformità dell’articolo 10, paragrafo 1. |
10. L’ utente non utilizza i dati ottenuti in seguito a una richiesta di cui al paragrafo 1 per sviluppare un prodotto_connesso in concorrenza con il prodotto_connesso da cui provengono i dati, né li condivide con un terzo con tale intenzione e non utilizza tali dati per ottenere informazioni sulla situazione economica, sulle risorse e sui metodi di produzione del fabbricante o, se applicabile, del titolare dei dati.
11. L’ utente non utilizza mezzi coercitivi né abusa di lacune nell’infrastruttura tecnica del titolare dei dati destinata a proteggere i dati al fine di ottenere l’accesso agli stessi.
12. Se l’ utente non è l’ interessato i cui dati personali sono richiesti, i dati personali generati dall’uso di un prodotto_connesso o di un servizio_correlato sono messi a disposizione dell’ utente dal titolare dei dati solo se esiste una valida base giuridica del trattamento a norma dell’articolo 6 del regolamento (UE) 2016/679 e, ove pertinente, se sono soddisfatte le condizioni di cui all’articolo 9 di detto regolamento e all’articolo 5, paragrafo 3, della direttiva 2002/58/CE.
13. Un titolare dei dati utilizza eventuali dati non personali prontamente disponibili solo sulla base di un contratto stipulato con l’ utente. Un titolare dei dati non utilizza tali dati per ottenere informazioni sulla situazione economica, sulle risorse e sui metodi di produzione dell’ utente, o sull’utilizzo da parte di quest’ultimo in qualsiasi altro modo che potrebbe compromettere la sua posizione commerciale sui mercati in cui l’ utente è attivo.
14. I titolari dei dati non mettono a disposizione di terzi i dati non personali del prodotto a fini commerciali o non commerciali diversi dall’esecuzione del loro contratto con l’ utente. Se del caso, i titolari dei dati vincolano contrattualmente i terzi a non condividere ulteriormente i dati da essi ricevuti.
Articolo 5
Diritto dell’ utente di condividere i dati con terzi
1. Su richiesta di un utente, o di una parte che agisce per conto di un utente, il titolare dei dati mette a disposizione di terzi i dati prontamente disponibili, nonché i pertinenti meta dati necessari a interpretare e utilizzare tali dati, senza indebito ritardo, con la stessa qualità di cui dispone il titolare dei dati, in modo facile, sicuro, a titolo gratuito per l’ utente, in un formato completo, strutturato, di uso comune e leggibile da dispositivo automatico e, ove pertinente e tecnicamente possibile, in modo continuo e in tempo reale. I dati sono messi a disposizione del terzo dal titolare dei dati in conformità degli articoli 8 e 9.
2. Il paragrafo 1 non si applica ai dati prontamente disponibili nel contesto del collaudo di nuovi prodotti connessi, sostanze o processi non ancora immessi sul mercato a meno che il loro utilizzo da parte di terzi non sia autorizzato contrattualmente.
3. Qualsiasi impresa designata come gatekeeper a norma dell’articolo 3 del regolamento (UE) 2022/1925 non è un terzo ammissibile ai sensi del presente articolo e pertanto:
| a) | non sollecita né fornisce incentivi commerciali all’ utente in qualsiasi modo, anche fornendo compensi pecuniari o di altro tipo, affinché metta i dati a disposizione di uno dei suoi servizi che l’ utente ha ottenuto in seguito a una richiesta a norma dell’articolo 4, paragrafo 1; |
| b) | non sollecita né fornisce incentivi commerciali all’ utente affinché chieda al titolare dei dati di mettere i dati a disposizione di uno dei suoi servizi a norma del paragrafo 1 del presente articolo; |
| c) | non riceve dall’ utente dati che quest’ultimo ha ottenuto in seguito a una richiesta a norma dell’articolo 4, paragrafo 1. |
4. Al fine di verificare se una persona fisica o giuridica si possa considerare un utente o un terzo ai fini del paragrafo 1, l’ utente o il terzo non è tenuto a fornire informazioni al di là di quanto necessario . I titolari dei dati non conservano informazioni sull’accesso del terzo ai dati richiesti al di là di quanto necessario per la corretta esecuzione della richiesta di accesso del terzo e per la sicurezza e la manutenzione dell’infrastruttura di dati.
5. Il terzo non utilizza mezzi coercitivi né abusa di lacune nell’infrastruttura tecnica di un titolare dei dati destinata a proteggere i dati al fine di ottenere l’accesso ai dati.
6. Un titolare dei dati non utilizza dati prontamente disponibili per ottenere informazioni sulla situazione economica, sulle risorse e sui metodi di produzione del terzo, o sull’utilizzo da parte di quest’ultimo in qualsiasi altro modo che potrebbe compromettere la posizione commerciale del terzo sui mercati in cui è attivo, a meno che quest’ultimo non abbia autorizzato tale uso e abbia la possibilità tecnica di revocare facilmente tale autorizzazione in qualsiasi momento.
7. Se l’ utente non è l’ interessato i cui dati personali sono richiesti, i dati personali generati dall’uso di un prodotto_connesso o di un servizio_correlato, sono messi a disposizione del terzo dal titolare dei dati solo se esiste una valida base giuridica per il trattamento a norma dell’articolo 6 del regolamento (UE) 2016/679 e, ove pertinente, se sono soddisfatte le condizioni di cui all’articolo 9 di detto regolamento e all’articolo 5, paragrafo 3, della direttiva 2002/58/CE.
8. La mancanza di accordo, da parte del titolare dei dati e del terzo, sulle modalità per la trasmissione dei dati non ostacola, impedisce o interferisce con l’esercizio dei diritti dell’ interessato a norma del regolamento (UE) 2016/679 e, in particolare, con il diritto alla portabilità dei dati di cui all’articolo 20 di tale regolamento.
9. I segreti commerciali sono conservati e comunicati a terzi solo nella misura in cui tale divulgazione è strettamente necessaria per conseguire la finalità concordata tra l’ utente e il terzo. Il titolare dei dati o, qualora non si tratti della stessa persona, il detentore del segreto_commerciale individua i dati protetti quali segreti commerciali, anche nei pertinenti meta dati, e concorda con il terzo le misure tecniche e organizzative proporzionate necessarie a preservare la riservatezza dei dati condivisi, quali clausole contrattuali tipo, accordi di riservatezza, protocolli di accesso rigorosi, norme tecniche e l’applicazione di codici di condotta.
10. In assenza di accordo sulle misure necessarie di cui al paragrafo 9 del presente articolo o qualora il terzo non attui le misure concordate ai sensi del paragrafo 9 del presente articolo o pregiudichi la riservatezza dei segreti commerciali, il titolare dei dati può bloccare o, se del caso, sospendere la condivisione dei dati identificati come segreti commerciali. La decisione del titolare dei dati è debitamente motivata e fornita al terzo per iscritto e senza indebito ritardo. In tali casi il titolare dei dati notifica all’autorità competente designata a norma dell’articolo 37 di aver bloccato o sospeso la condivisione dei dati e indica quali misure non sono state concordate o attuate e, se del caso, di quali segreti commerciali è stata pregiudicata la riservatezza.
11. In circostanze eccezionali, qualora il titolare dei dati che è detentore di un segreto_commerciale possa dimostrare che subirà molto probabilmente gravi danni economici a causa della divulgazione di segreti commerciali, malgrado le misure tecniche e organizzative adottate dal terzo di cui al paragrafo 9 del presente articolo, tale titolare dei dati può rifiutare di volta in volta una richiesta di accesso ai dati specifici in questione. Tale dimostrazione è debitamente motivata sulla base di elementi oggettivi, in particolare l’applicabilità della protezione dei segreti commerciali in paesi terzi, la natura e il livello di riservatezza dei dati richiesti nonché l’unicità e la novità del prodotto_connesso, ed è fornita per iscritto al terzo senza indebito ritardo. Qualora rifiuti di condividere i dati ai sensi del presente paragrafo, il titolare dei dati notifica l’autorità competente designata a norma dell’articolo 37.
12. Fatto salvo il diritto del terzo di presentare ricorso in qualsiasi momento dinanzi a un organo giurisdizionale di uno Stato membro, un terzo che intenda contestare la decisione del titolare dei dati di rifiutare, o di bloccare o sospendere la condivisione di dati a norma dei paragrafi 10 e 11 può:
| a) | presentare, conformemente all’articolo 37, paragrafo 5, lettera b), un reclamo all’autorità competente che decide senza indebito ritardo se e a quali condizioni debba iniziare o riprendere la condivisione dei dati; o |
| b) | convenire con il titolare dei dati di deferire la questione a un organismo di risoluzione delle controversie in conformità dell’articolo 10, paragrafo 1. |
13. Il diritto di cui al paragrafo 1 non deve ledere i diritti degli interessati a norma del diritto dell’Unione e nazionale applicabile in materia di protezione dei dati personali.
Articolo 30
Aspetti tecnici del passaggio
1. I fornitori di servizi di trattamento dei dati concernenti risorse informatiche scalabili ed elastiche limitate a elementi infrastrutturali quali server, reti e risorse virtuali necessarie per il funzionamento dell’infrastruttura, che non forniscono tuttavia accesso ad applicazioni, servizi e software operativi memorizzati, altrimenti trattati o installati su tali elementi infrastrutturali, adottano, conformemente all’articolo 27, tutte le misure ragionevoli in loro potere per far sì che il cliente, dopo il passaggio a un servizio che copre lo stesso_tipo_di_servizio, raggiunga l’ equivalenza_funzionale nell’utilizzo del servizio del trattamento dei dati di destinazione. Il fornitore di servizi di trattamento dei dati di origine agevola il processo di passaggio fornendo capacità, sufficienti informazioni, documentazione, assistenza tecnica e, se del caso, gli strumenti necessari.
2. I fornitori di servizi di trattamento dei dati, diversi da quelli di cui al paragrafo 1, rendono disponibili a titolo gratuito interfacce aperte in egual misura per tutti i loro clienti e i fornitori di servizi di destinazione interessati al fine di agevolare il processo di passaggio. Tali interfacce includono informazioni sufficienti sul servizio in questione onde permettere lo sviluppo di software per comunicare con i servizi, ai fini della portabilità e dell’ interoperabilità dei dati.
3. Per i servizi di trattamento dei dati diversi da quelli di cui al paragrafo 1 del presente articolo, i fornitori di servizi di trattamento dei dati garantiscono la compatibilità con specifiche_comuni basate sulle specifiche di interoperabilità aperte o norme armonizzate per l’ interoperabilità almeno 12 mesi dopo la pubblicazione dei riferimenti a tali specifiche_comuni o norme armonizzate per l’ interoperabilità di servizi di trattamento dei dati, nell’archivio centrale dell’Unione delle norme per l’ interoperabilità dei servizi di trattamento dei dati, a seguito della pubblicazione degli atti di esecuzione di base nella Gazzetta ufficiale dell’Unione europea, in conformità dell’articolo 35, paragrafo 7.
4. I fornitori di servizi di trattamento dei dati diversi da quelli di cui al paragrafo 1 del presente articolo aggiornano il registro online di cui all’articolo 26, lettera b), conformemente agli obblighi di cui al paragrafo 3 del presente articolo.
5. In caso di passaggio tra servizi dello stesso_tipo_di_servizio, per i quali le specifiche_comuni o le norme armonizzate per l’ interoperabilità di cui al paragrafo 3 del presente articolo non siano state pubblicate nell’archivio centrale dell’Unione delle norme per l’ interoperabilità dei servizi di trattamento dei dati a norma dell’articolo 35, paragrafo 8, il fornitore dei servizi di trattamento dei dati esporta, su richiesta del cliente, tutti i dati esportabili in un formato strutturato, di uso comune e leggibile da dispositivo automatico.
6. I fornitori di servizi di trattamento dei dati non sono tenuti a sviluppare nuove tecnologie o servizi, o a comunicare o trasferire risorse_digitali che sono protette da diritti di proprietà intellettuale o che costituiscono un segreto_commerciale, a un cliente o a un diverso fornitore di servizi di trattamento dei dati, né a compromettere la sicurezza e l’integrità del servizio del cliente o del fornitore.
Articolo 31
Regime specifico per taluni servizi di trattamento dei dati
1. Gli obblighi di cui all’articolo 23, lettera d), all’articolo 29 e all’articolo 30, paragrafi 1 e 3, non si applicano ai servizi di trattamento dei dati le cui caratteristiche principali siano state per la maggior parte personalizzate al fine di soddisfare le esigenze specifiche di un singolo cliente, o i cui componenti siano stati tutti sviluppati per le finalità di un singolo cliente, e qualora tali servizi di trattamento dei dati non siano offerti su vasta scala commerciale tramite il catalogo di servizi del fornitore di servizi di trattamento dei dati.
2. Gli obblighi di cui al presente capo non si applicano ai servizi di trattamento dei dati forniti come versione non destinata alla produzione, a fini di prova e valutazione e per un periodo limitato di tempo.
3. Prima della conclusione di un contratto sulla fornitura dei servizi di trattamento dei dati di cui al presente articolo, il fornitore di servizi di trattamento dei dati informa il potenziale cliente degli obblighi del presente capo che non si applicano.
CAPO VII
ACCESSO GOVERNATIVO E TRASFERIMENTO INTERNAZIONALI DI DATI NON PERSONALI
Articolo 33
Requisiti essenziali in materia di interoperabilità dei dati, dei meccanismi e servizi di condivisione dei dati nonché degli spazi comuni europei di dati
1. Per facilitare l’ interoperabilità dei dati , dei meccanismi e servizi di condivisione dei dati nonché degli spazi comuni europei di dati, che costituiscono quadri interoperabili per scopi specifici, settoriali o intersettoriali di norme e prassi comuni per condividere o trattare congiuntamente i dati, anche per lo sviluppo di nuovi prodotti e servizi, della ricerca scientifica o di iniziative della società civile, i partecipanti agli spazi di dati che offrono dati o servizi di dati ad altri partecipanti rispettano i requisiti essenziali seguenti:
| a) | il contenuto degli insiemi di dati, le restrizioni all’uso, le licenze, la metodologia di raccolta dei dati e la qualità e l’incertezza dei dati sono descritti, se del caso in un formato leggibile da dispositivo automatico, in modo sufficiente a consentire al destinatario di trovare i dati, accedervi e utilizzarli; |
| b) | le strutture e i formati dei dati, i vocabolari, gli schemi di classificazione, le tassonomie e gli elenchi dei codici, se disponibili, sono descritti in modo accessibile al pubblico e coerente; |
| c) | i mezzi tecnici per accedere ai dati, quali le interfacce di programmazione delle applicazioni (API), e le relative condizioni d’uso e di qualità del servizio sono descritti in modo sufficiente a consentire l’accesso automatico ai dati e la relativa trasmissione automatica tra le parti, anche in modo continuo, in download in blocco o in tempo reale, in un formato leggibile da dispositivo automatico, qualora tecnicamente fattibile e non di ostacolo al buon funzionamento del prodotto_connesso; |
| d) | se del caso, sono forniti i mezzi per consentire l’ interoperabilità degli strumenti concepiti per automatizzare l’esecuzione degli accordi di condivisione dei dati, ad esempio i contratti intelligenti. |
Tali requisiti possono avere carattere generico o riguardare settori specifici, tenendo pienamente conto dell’interrelazione con i requisiti derivanti dal diritto dell’Unione o nazionale.
2. Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 45 per integrare il presente regolamento specificando ulteriormente i requisiti essenziali di cui al paragrafo 1 del presente articolo, in relazione ai requisiti che, per loro natura, non sono in grado di produrre l’effetto atteso a meno che non siano ulteriormente specificati in atti giuridici vincolanti dell’Unione e al fine di riflettere adeguatamente gli sviluppi tecnologici e di mercato.
La Commissione, quando adotta atti delegati, tiene conto dei pareri dell’EDIB conformemente all’articolo 42, lettera c), punto iii).
3. Si presume che i partecipanti agli spazi di dati che offrono dati o servizi di dati ad altri partecipanti agli spazi di dati che soddisfano le norme armonizzate o parti di esse, i cui riferimenti sono pubblicati nella Gazzetta ufficiale dell’Unione europea, siano conformi ai requisiti essenziali di cui al paragrafo 1 nella misura in cui tali requisiti sono contemplati da tali norme armonizzate o parti di esse.
4. Conformemente all’articolo 10 del regolamento (UE) n. 1025/2012, la Commissione chiede a una o più organizzazioni europee di normazione di elaborare norme armonizzate che soddisfino i requisiti essenziali di cui al paragrafo 1 del presente articolo.
5. La Commissione può adottare, mediante atti di esecuzione, specifiche_comuni che contemplino uno o tutti i requisiti essenziali di cui al paragrafo 1 laddove siano state soddisfatte le condizioni seguenti:
| a) | la Commissione ha chiesto, a norma dell’articolo 10, paragrafo 1, del regolamento (UE) n. 1025/2012, a una o più organizzazioni europee di normazione di elaborare una norma_armonizzata che soddisfi i requisiti essenziali di cui al paragrafo 1 del presente articolo e:
|
| b) | nessun riferimento a norme armonizzate che contemplino i requisiti essenziali pertinenti di cui al paragrafo 1 del presente articolo è pubblicato nella Gazzetta ufficiale dell’Unione europea conformemente al regolamento (UE) n. 1025/2012 e non si prevede la pubblicazione di tale riferimento entro un termine ragionevole. |
Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 46, paragrafo 2.
6. Prima di preparare un progetto di atto di esecuzione di cui al paragrafo 5 del presente articolo, la Commissione comunica al comitato di cui all’articolo 22 del regolamento (UE) n. 1025/2012 che ritiene soddisfatte le condizioni di cui al paragrafo 5 del presente articolo.
7. Nel preparare il progetto di atto di esecuzione di cui al paragrafo 5, la Commissione tiene conto dei pareri del EDIB e di altri organismi o gruppi di esperti pertinenti e consulta debitamente tutti i pertinenti portatori di interessi.
8. Si presume che i partecipanti agli spazi di dati che offrono dati o servizi di dati ad altri partecipanti agli spazi di dati che soddisfano le specifiche_comuni stabilite da atti di esecuzione di cui al paragrafo 5 o parti di essi siano conformi ai requisiti essenziali di cui al paragrafo 1 nella misura in cui tali requisiti sono contemplati da tali specifiche_comuni o parti di esse.
9. Qualora una norma_armonizzata sia adottata da un’organizzazione europea di normazione e proposta alla Commissione ai fini della pubblicazione del suo riferimento nella Gazzetta ufficiale dell’Unione europea, la Commissione valuta la norma_armonizzata conformemente al regolamento (UE) n. 1025/2012. Qualora il riferimento di una norma_armonizzata sia pubblicato nella Gazzetta ufficiale dell’Unione europea, la Commissione abroga gli atti di esecuzione di cui al paragrafo 5 del presente articolo o parti di essi, che riguardano gli stessi requisiti essenziali contemplati da tali norme armonizzate.
10. Qualora uno Stato membro ritenga che una specifica comune non soddisfi completamene i requisiti essenziali di cui al paragrafo 1, esso ne informa la Commissione presentando una spiegazione dettagliata. La Commissione valuta tale spiegazione dettagliata e, se del caso, può modificare l’atto di esecuzione che stabilisce la specifica comune in questione.
11. La Commissione può adottare orientamenti, tenendo conto della proposta dell’EDIB conformemente all’articolo 30, lettera h), del regolamento (UE) 2022/868, che stabiliscono quadri interoperabili di norme e prassi comuni per il funzionamento degli spazi comuni europei di dati.
Articolo 36
Requisiti essenziali relativi ai contratti intelligenti per l’esecuzione degli accordi di condivisione dei dati
1. Il venditore di applicazioni che utilizzano contratti intelligenti o, in sua assenza, la persona la cui attività commerciale, imprenditoriale o professionale comporti l’implementazione di contratti intelligenti per altri nel contesto dell’esecuzione di un accordo, o parte di esso, di messa a disposizione dei dati, assicura che tali contratti intelligenti rispettino i requisiti essenziali seguenti:
| a) | robustezza e controllo dell’accesso, garantire che il contratto_intelligente sia stato progettato in modo da offrire meccanismi di controllo dell’accesso e un grado di robustezza molto elevato per evitare errori funzionali e resistere alla manipolazione di terzi; |
| b) | cessazione e interruzione sicure, per garantire che esista un meccanismo per cessare l’esecuzione continua delle transazioni e che contratto_intelligente comprenda funzioni interne che possano reimpostarlo o trasmettergli l’istruzione di fermare o interrompere il proprio funzionamento, in particolare per evitare esecuzioni accidentali future; |
| c) | archiviazione e continuità dei dati, per garantire, nel caso in cui si debba procedere alla risoluzione o alla disattivazione di un contratto_intelligente, che vi sia la possibilità di archiviare i dati relativi alle transazioni nonché la logica e il codice del contratto_intelligente al fine di tenere traccia delle operazioni effettuate sui dati in passato (verificabilità); |
| d) | controllo dell’accesso, per garantire che un contratto_intelligente sia protetto mediante meccanismi rigorosi di controllo dell’accesso sul piano della governance e del contratto_intelligente; e |
| e) | coerenza, per garantire che si intende la coerenza con le clausole dell’accordo di condivisione dei dati che il contratto_intelligente esegue. |
2. Il venditore di contratti intelligenti o, in sua assenza, la persona la cui attività commerciale, imprenditoriale o professionale comporti l’implementazione di contratti intelligenti per altri nel contesto dell’esecuzione di un accordo, o parte di esso, di messa a disposizione dei dati effettua una valutazione della conformità al fine di soddisfare i requisiti essenziali di cui al paragrafo 1 e, se tali requisiti sono soddisfatti, rilascia una dichiarazione di conformità UE.
3. Con la dichiarazione di conformità UE il venditore di applicazioni che utilizzano contratti intelligenti o, in sua assenza, la persona la cui attività commerciale, imprenditoriale o professionale comporti l’implementazione di contratti intelligenti per altri nel contesto dell’implementazione di un accordo, o parte di esso, di messa a disposizione dei dati, è responsabile del rispetto dei requisiti essenziali di cui al paragrafo 1.
4. Si presume che un contratto_intelligente che soddisfa le norme armonizzate o le pertinenti parti di tali norme, i cui riferimenti sono pubblicati nella Gazzetta ufficiale dell’Unione europea, sia conforme ai requisiti essenziali di cui al paragrafo 1 del presente articolo nella misura in cui tali requisiti sono contemplati da tali norme armonizzate o parti di esse.
5. Ai sensi dell’articolo 10 del regolamento (UE) n. 1025/2012, la Commissione chiede a una o più organizzazioni europee di normazione di elaborare norme armonizzate che soddisfino i requisiti essenziali di cui al paragrafo 1 del presente articolo.
6. La Commissione può adottare, mediante atti di esecuzione, specifiche_comuni che contemplino una o tutti i requisiti essenziali di cui al paragrafo 1 laddove siano state soddisfatte le condizioni seguenti:
| a) | la Commissione ha chiesto, a norma dell’articolo 10, paragrafo 1, del regolamento (UE) n. 1025/2012, a una o più organizzazioni europee di normazione di elaborare una norma_armonizzata che soddisfi i requisiti essenziali di cui al paragrafo 1 del presente articolo e:
|
| b) | nessun riferimento a norme armonizzate che contemplino i requisiti essenziali pertinenti di cui al paragrafo 1 del presente articolo è pubblicato nella Gazzetta ufficiale dell’Unione europea conformemente al regolamento (UE) n. 1025/2012 e non si prevede la pubblicazione di tale riferimento entro un termine ragionevole. |
Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 46, paragrafo 2.
7. Prima di preparare un progetto di atto di esecuzione di cui al paragrafo 6 del presente articolo, la Commissione comunica al comitato di cui all’articolo 22 del regolamento (UE) n. 1025/2012 che ritiene soddisfatte le condizioni di cui al paragrafo 6 del presente articolo.
8. Nel preparare il progetto di atto di esecuzione di cui al paragrafo 6, la Commissione tiene conto dei pareri del EDIB e di altri organismi o gruppi di esperti pertinenti e consulta debitamente tutti i pertinenti portatori di interessi.
9. Si presume che il venditore di contratti intelligenti o, in sua assenza, la persona la cui attività commerciale, imprenditoriale o professionale comporti l’implementazione di contratti intelligenti per altri nel contesto dell’implementazione di un accordo, o parte di esso, di messa a disposizione dei dati che soddisfano le specifiche_comuni stabilite da atti di esecuzione di cui al paragrafo 5 o parti di essi sia conforme ai requisiti essenziali di cui al paragrafo 1 nella misura in cui tali requisiti sono contemplati da tali specifiche_comuni o parti di esse.
10. Qualora una norma_armonizzata sia adottata da un’organizzazione europea di normazione e proposta alla Commissione al fine di pubblicare il suo riferimento nella Gazzetta ufficiale dell’Unione europea, la Commissione valuta la norma_armonizzata conformemente al regolamento (UE) n. 1025/2012. Qualora il riferimento di una norma_armonizzata sia pubblicato nella Gazzetta ufficiale dell’Unione europea, la Commissione abroga gli atti di esecuzione di cui al paragrafo 6 del presente articolo, o parti di essi, che riguardano gli stessi requisiti essenziali contemplati da tali norme armonizzate.
11. Qualora uno Stato membro ritenga che una specifica comune non soddisfi completamene i requisiti essenziali di cui al paragrafo 1, esso ne informa la Commissione presentando una spiegazione dettagliata. La Commissione valuta tale spiegazione dettagliata e, se del caso, modifica l’atto di esecuzione che stabilisce la specifica comune in questione.
CAPO IX
ATTUAZIONE ED ESECUZIONE
Articolo 37
Autorità competenti e coordinatori dei dati
1. Ciascuno Stato membro designa una o più autorità competenti incaricate dell’applicazione e dell’esecuzione del presente regolamento (autorità competenti). Gli Stati membri possono istituire una o più nuove autorità o fare affidamento sulle autorità esistenti.
2. Qualora uno Stato membro designi più di un’autorità competente, tra di esse designa un coordinatore dei dati per facilitare la cooperazione tra le autorità competenti e per assistere le entità che rientrano nell’ambito di applicazione del presente regolamento su tutte le questioni relative alla sua applicazione ed esecuzione. Le autorità competenti, nell’esercizio dei compiti e dei poteri ad esse assegnati a norma del paragrafo 5, cooperano tra loro.
3. Le autorità di controllo incaricate di sorvegliare l’applicazione del regolamento (UE) 2016/679 sono incaricate di sorvegliare l’applicazione del presente regolamento per quanto riguarda la protezione dei dati personali. I capi VI e VII del regolamento (UE) 2016/679 si applicano mutatis mutandis.
Il Garante europeo della protezione dei dati è incaricato di monitorare l’applicazione del presente regolamento nella misura in cui riguarda la Commissione, la Banca centrale europea o gli organismi_dell’Unione. Ove pertinente, l’articolo 62 del regolamento (UE) 2018/1725 si applica mutatis mutandis.
I compiti e i poteri delle autorità di controllo di cui al presente paragrafo sono esercitati in relazione al trattamento dei dati personali.
4. Fatto salvo il paragrafo 1 del presente articolo:
| a) | per questioni specifiche concernenti l’accesso ai dati settoriali e il loro utilizzo relative all’attuazione del presente regolamento è rispettata la competenza delle autorità settoriali; |
| b) | l’autorità competente incaricata dell’applicazione e dell’esecuzione degli articoli da 23 a 31 e degli articoli 34 e 35 ha esperienza nel campo dei dati e dei servizi di comunicazioni elettroniche. |
5. Gli Stati membri provvedono affinché i compiti e poteri delle autorità competenti siano chiaramente definiti e comprendano:
| a) | la promozione dell’ alfabetizzazione_in_materia_di_ dati e la sensibilizzazione degli utenti e delle entità che rientrano nell’ambito di applicazione del presente regolamento in merito ai diritti e agli obblighi a norma del presente regolamento; |
| b) | il trattamento dei reclami derivanti da presunte violazioni del presente regolamento, anche in relazione a segreti commerciali, lo svolgimento di indagini, nella misura appropriata, sull’oggetto dei reclami e la periodica trasmissione di informazioni ai reclamanti, conformemente al diritto nazionale se del caso, in merito allo stato e all’esito delle indagini entro un termine ragionevole, in particolare ove siano necessari ulteriori indagini o il coordinamento con un’altra autorità competente; |
| c) | lo svolgimento di indagini su questioni relative all’applicazione del presente regolamento, anche sulla base di informazioni ricevute da un’altra autorità competente o da un’altra autorità pubblica; |
| d) | l’inflizione di sanzioni pecuniarie effettive, proporzionate e dissuasive che possono includere sanzioni periodiche e sanzioni con effetto retroattivo, o l’avvio di procedimenti giudiziari per l’inflizione di ammende; |
| e) | il monitoraggio degli sviluppi tecnologici e dei pertinenti sviluppi commerciali rilevanti per la messa a disposizione e l’utilizzo dei dati; |
| f) | la cooperazione con le autorità competenti di altri Stati membri e, ove opportuno, con la Commissione o l’EDIB per garantire l’applicazione coerente ed efficiente del presente regolamento, compreso lo scambio di tutte le informazioni pertinenti per via elettronica, senza indebito ritardo, anche per quanto riguarda il paragrafo 10 del presente articolo; |
| g) | la cooperazione con le autorità competenti pertinenti incaricate dell’attuazione di altri atti giuridici dell’Unione o nazionali, comprese le autorità competenti nel campo dei dati e dei servizi di comunicazioni elettroniche, l’autorità di controllo incaricata di sorvegliare l’applicazione del regolamento (UE) 2016/679 o le autorità settoriali, per garantire che il presente regolamento sia applicato coerentemente con il diritto dell’Unione e nazionale; |
| h) | la cooperazione con le autorità competenti pertinenti per garantire che gli articoli da 23 a 31 e gli articoli 34 e 35 siano applicati coerentemente con altro diritto dell’Unione e misure di autoregolamentazione applicabili ai fornitori di servizi di trattamento dei dati; |
| i) | la garanzia che le tariffe per il passaggio siano abolite conformemente all’articolo 29; |
| j) | l’esame delle richieste di dati presentate a norma del capo V. |
Laddove designato, il coordinatore dei dati facilita la cooperazione di cui alle lettere f), g) e h), del primo comma e assiste le autorità competenti su loro richiesta.
6. Il coordinatore dei dati, laddove tale autorità competenti sia stata designata:
| a) | funge da punto di contatto unico per tutte le questioni relative all’applicazione del presente regolamento; |
| b) | garantisce che le richieste di messa a disposizione dei dati presentate da enti pubblici in caso di eccezionale necessità a norma del capo V siano pubblicamente disponibili online e promuove accordi di condivisione dei dati volontari tra enti pubblici e titolari dei dati; |
| c) | informa la Commissione, su base annua, dei rifiuti notificati a norma dell’articolo 4, paragrafi 2 e 8, e dell’articolo 5, paragrafo 11. |
7. Gli Stati membri notificano alla Commissione i nomi delle autorità competenti designate e i compiti e poteri e, ove opportuno, il nome del coordinatore dei dati. La Commissione tiene un registro pubblico di tali autorità.
8. Nello svolgimento dei loro compiti e nell’esercizio dei loro poteri conformemente al presente regolamento, le autorità competenti rimangono imparziali, non subiscono alcuna influenza esterna, diretta o indiretta, e non sollecitano né accettano istruzioni, per singoli casi, da altre autorità pubbliche o da privati.
9. Gli Stati membri provvedono affinché le autorità competenti dispongano delle risorse umane e tecniche sufficienti e delle opportune competenze per svolgere efficacemente i propri compiti conformemente al presente regolamento.
10. Le entità che rientrano nell’ambito di applicazione del presente regolamento sono soggette alla competenza dello Stato membro nel quale sono stabilite. Laddove l’entità sia stabilita in più di uno Stato membro, è considerata soggetta alla competenza dello Stato membro in cui ha lo stabilimento principale, ossia dove ha la sua amministrazione centrale o la sua sede sociale da cui esercita le principali funzioni finanziarie e il controllo operativo.
11. Qualsiasi entità rientrante nell’ambito di applicazione del presente regolamento che renda disponibili prodotti connessi o offra servizi correlati nell’Unione e che non sia stabilita nell’Unione designa un rappresentante legale in uno degli Stati membri.
12. Al fine di garantire la conformità al presente regolamento, il rappresentante legale riceve da un’entità rientrante nell’ambito di applicazione del presente regolamento che rende disponibili prodotti connessi o offre servizi correlati nell’Unione il mandato di essere interpellato oltre all’entità stessa o al suo posto dalle autorità competenti per quanto riguarda tutte le questioni relative a tale entità. Il rappresentante legale collabora con le autorità competenti e, su richiesta, dimostra loro in modo esauriente le misure adottate e le disposizioni messe in atto dall’entità rientrante nell’ambito di applicazione del presente regolamento che rende disponibili prodotti connessi o offre servizi correlati nell’Unione per garantire la conformità al presente regolamento.
13. Un’entità rientrante nell’ambito di applicazione del presente regolamento che rende disponibili prodotti connessi o offre servizi correlati nell’Unione è considerata soggetta alla giurisdizione dello Stato membro in cui è situato il suo rappresentante legale. La designazione di un rappresentante legale a cura di tale entità fa salve la responsabilità e le eventuali azioni legali che potrebbero essere promosse contro di essa. Fino a quando l’entità non avrà designato un rappresentante legale a norma del presente articolo, essa sarà soggetta alla competenza di tutti gli Stati membri, se del caso, al fine di garantire l’applicazione ed esecuzione del presente regolamento. Qualsiasi autorità competente può esercitare la propria competenza, anche infliggendo sanzioni effettive, proporzionate e dissuasive, a condizione che l’entità non sia soggetta a procedimenti esecutivi a norma del presente regolamento in relazione agli stessi fatti da parte di un’altra autorità competente.
14. Le autorità competenti hanno il potere di chiedere agli utenti, ai titolari dei dati o ai destinatari dei dati, ovvero ai loro rappresentanti legali, soggetti alla competenza del loro Stato membro tutte le informazioni necessarie a verificare la conformità al presente regolamento. Le richieste di informazioni sono motivate e proporzionate rispetto all’assolvimento del compito di base.
15. Se un’autorità competente di uno Stato membro chiede misure di assistenza o di esecuzione a un’autorità competente di un altro Stato membro, essa presenta una richiesta motivata. Al ricevimento di tale richiesta, l’autorità competente fornisce una risposta in cui si precisano le azioni che sono state adottate o che si prevede di adottare, senza indebito ritardo.
16. Le autorità competenti rispettano il principio di riservatezza e del segreto professionale e commerciale e tutelano i dati personali ai sensi del diritto dell’Unione o nazionale. Tutte le informazioni scambiate nel quadro di una richiesta di assistenza e fornite a norma del presente articolo sono utilizzate solo in relazione alla questione per cui sono state richieste.
whereas