Data Act 2023/2854 IT

c)	la messa a disposizione di dati da parte dei titolari dei dati agli enti pubblici, alla Commissione, alla Banca centrale europea e a organismi_dell’Unione, a fronte di necessità eccezionali per tali dati, per l’esecuzione di un compito specifico svolto nell’interesse pubblico;

d)	la facilitazione del passaggio da un servizio di trattamento dei dati all’altro;

e)	l’introduzione di garanzie contro l’accesso illecito di terzi ai dati non personali; e

f)	lo sviluppo di norme di interoperabilità per i dati a cui accedere, da trasferire e utilizzare.

2. Il presente regolamento concerne i dati personali e non personali, compresi i seguenti tipi di dati nei contesti seguenti:

a)	il capo II si applica ai dati, ad eccezione del contenuto, relativi alle prestazioni, all’uso e all’ambiente dei prodotti connessi e dei servizi correlati;

b)	il capo III si applica a tutti i dati del settore privato soggetti a obblighi di condivisione dei dati previsti dalla legge;

c)	il capo IV si applica a tutti i dati del settore privato il cui accesso e utilizzo si basano su contratti tra imprese;

d)	il capo V si applica a tutti i dati del settore privato, incentrandosi sui dati non personali;

e)	il capo VI si applica a tutti i dati e servizi trattati dai fornitori di servizi di trattamento dei dati;

f)	il capo VII si applica a tutti i dati non personali detenuti nell’Unione da fornitori di servizi di trattamento dei dati.

3. Il presente regolamento si applica:

a)	ai fabbricanti di prodotti connessi immessi sul mercato dell’Unione e ai fornitori di servizi correlati, indipendentemente dal loro luogo di stabilimento di tali fabbricanti e fornitori;

b)	agli utenti nell’Unione di prodotti connessi o servizi correlati di cui alla lettera a);

c)	ai titolari dei dati, indipendentemente dal loro luogo di stabilimento, che mettono dati a disposizione dei destinatari dei dati nell’Unione;

d)	ai destinatari dei dati nell’Unione a disposizione dei quali sono messi i dati;

agli enti pubblici, alla Commissione, alla Banca centrale europea e agli organismi_dell’Unione che chiedono ai titolari dei dati di mettere i dati a disposizione nel caso tali dati siano necessari a fronte di una necessità eccezionale per l’esecuzione di un compito specifico svolto nell’interesse pubblico e ai titolari dei dati che forniscono tali dati in risposta a tale richiesta;

f)	ai fornitori di servizi di trattamento dei dati, indipendentemente dal loro luogo di stabilimento, che forniscono tali servizi a clienti nell’Unione;

g)	ai partecipanti agli spazi di dati, ai venditori di applicazioni che utilizzano contratti intelligenti e alle persone la cui attività commerciale, imprenditoriale o professionale comporti l’implementazione di contratti intelligenti per altri nel contesto dell’esecuzione di un accordo.

4. Nei casi in cui il presente regolamento fa riferimento a prodotti connessi o servizi correlati, tali riferimenti comprendono anche gli assistenti_virtuali, nella misura in cui interagiscono con un prodotto_connesso o un servizio_correlato.

5. Il presente regolamento fa salvo il diritto dell’Unione e nazionale in materia di protezione dei dati personali, della vita privata e della riservatezza delle comunicazioni e dell’integrità delle apparecchiature terminali, che si applica ai dati personali trattati in relazione ai diritti e agli obblighi, in particolare i regolamenti (UE) 2016/679 e (UE) 2018/1725 e la direttiva 2002/58/CE, nonché i poteri e le competenze delle autorità di controllo e i diritti degli interessati. Nella misura in cui gli utenti sono gli interessati, i diritti di cui al capo II del presente regolamento integrano i diritti di accesso da parte degli interessati e i diritti alla portabilità dei dati di cui agli articoli 15 e 20 del regolamento (UE) 2016/679. In caso di conflitto tra il presente regolamento e il diritto dell’Unione in materia di protezione dei dati personali o della vita privata o la legislazione nazionale adottata conformemente a tale diritto dell’Unione, prevale il pertinente diritto dell’Unione o nazionale in materia di protezione dei dati personali o della vita privata.

6. Il presente regolamento non si applica agli accordi volontari per lo scambio di dati tra soggetti pubblici e privati né li pregiudica, in particolare gli accordi volontari di condivisione dei dati.

Il presente regolamento non pregiudica gli atti giuridici dell’Unione o nazionali che prevedono la condivisione e l’utilizzo dei dati e l’accesso agli stessi a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, o a fini doganali e fiscali, in particolare i regolamenti (UE) 2021/784, (UE) 2022/2065 e (UE) 2023/1543 e la direttiva (UE) 2023/1544, o la cooperazione internazionale in tale settore. Il presente regolamento non si applica alla raccolta o alla condivisione, all’accesso o all’utilizzo dei dati a norma del regolamento (UE) 2015/847 e della direttiva (UE) 2015/849. Il presente regolamento non si applica ai settori che non rientrano nell’ambito di applicazione del diritto dell’Unione e in ogni caso non pregiudica le competenze degli Stati membri in materia di sicurezza pubblica, difesa o sicurezza nazionale indipendentemente dal tipo di entità incaricata dagli Stati membri di svolgere compiti in relazione a tali competenze, né il loro potere di salvaguardare altre funzioni essenziali dello Stato, tra cui la garanzia dell’integrità territoriale dello Stato e il mantenimento dell’ordine pubblico. Il presente regolamento fa salve le competenze degli Stati membri in materia di amministrazione doganale e fiscale o salute e sicurezza dei cittadini.

7. Il presente regolamento integra l’approccio di autoregolamentazione di cui al regolamento (UE) 2018/1807 aggiungendo obblighi di applicazione generale relativi al passaggio ad altri servizi cloud.

8. Il presente regolamento fa salvi gli atti giuridici dell’Unione e nazionali che prevedono la tutela dei diritti di proprietà intellettuale, in particolare le direttive 2001/29/CE, 2004/48/CE e (UE) 2019/790.

9. Il presente regolamento integra e fa salvo il diritto dell’Unione volto a promuovere gli interessi dei consumatori e a garantire un livello elevato di protezione dei consumatori, nonché a proteggere la loro salute, la loro sicurezza e i loro interessi economici, in particolare le direttive 93/13/CEE, 2005/29/CE e 2011/83/UE.

10. Il presente regolamento non preclude la conclusione di contratti di condivisione dei dati volontari e legittimi, ivi compresi contratti conclusi su base reciproca, che siano conformi ai requisiti di cui al presente regolamento.

Articolo 2

Definizioni

Ai fini del presente regolamento si applicano le definizioni seguenti:

1)	« dati»: qualsiasi rappresentazione digitale di atti, fatti o informazioni e qualsiasi raccolta di tali atti, fatti o informazioni, anche sotto forma di registrazione sonora, visiva o audiovisiva;

2)	«meta dati»: una descrizione strutturata del contenuto o dell’uso dei dati che agevola la ricerca o l’utilizzo di tali dati;

3)	« dati personali»: i dati personali quali definiti all’articolo 4, punto 1, del regolamento (UE) 2016/679;

4)	« dati non personali»: i dati diversi dai dati personali;

« prodotto_connesso»: un bene che ottiene, genera o raccoglie dati relativi al suo utilizzo o al suo ambiente e che è in grado di comunicare dati del prodotto tramite un servizio di comunicazione elettronica, una connessione fisica o l’accesso su dispositivo, e la cui funzione primaria non è l’archiviazione, il trattamento o la trasmissione dei dati per conto di una parte diversa dall’ utente;

« servizio_correlato»: un servizio digitale diverso da un servizio di comunicazione elettronica, anche software, connesso con il prodotto al momento dell’acquisto, della locazione o del noleggio in modo tale che la sua assenza impedirebbe al prodotto_connesso di svolgere una o più delle sue funzioni o che è successivamente connesso al prodotto dal fabbricante o da un terzo al fine di ampliare, aggiornare o adattare le funzioni del prodotto_connesso;

« trattamento»: qualsiasi operazione o insieme di operazioni compiute su dati o insiemi di dati, con o senza l’ausilio di strumenti automatizzati, come la raccolta, la registrazione, l’organizzazione, la strutturazione, l’archiviazione, l’adattamento o la modifica, il reperimento, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o altra forma di messa a disposizione, l’allineamento o l’interconnessione, la limitazione, la cancellazione o la distruzione;

«servizio di trattamento dei dati»: un servizio digitale fornito a un cliente e che consente l’accesso di rete universale e su richiesta a un pool condiviso di risorse informatiche configurabili, scalabili ed elastiche di natura centralizzata, distribuita o altamente distribuita e che può essere rapidamente erogato e rilasciato con un minimo sforzo di gestione o interazione con il fornitore di servizi;

9)	« stesso_tipo_di_servizio»: un insieme di servizi di trattamento dei dati che condividono lo stesso obiettivo primario, lo stesso modello di servizio di trattamento dei dati e le principali funzionalità;

10)	«servizio di intermediazione dei dati»: un servizio di intermediazione dei dati quale definito all’articolo 2, punto 11, del regolamento (UE) 2022/868;

11)	« interessato»: l’ interessato di cui all’articolo 4, punto 1, del regolamento (UE) 2016/679;

12)	« utente»: una persona fisica o giuridica che possiede un prodotto_connesso o a cui sono stati trasferiti contrattualmente diritti temporanei di utilizzo di tale prodotto_connesso o che riceve un servizio_correlato;

13)

«titolare dei dati»: una persona fisica o giuridica che ha il diritto o l’obbligo, conformemente al presente regolamento, al diritto applicabile dell’Unione o alla legislazione nazionale adottata conformemente al diritto dell’Unione, di utilizzare e mettere a disposizione dati, compresi, se concordato contrattualmente, dati del prodotto o di un servizio_correlato che ha reperito o generato nel corso della fornitura di un servizio_correlato;

14)

«destinatario dei dati»: una persona fisica o giuridica, che agisce per fini connessi alla sua attività commerciale, imprenditoriale, artigianale o professionale, diversa dall’ utente di un prodotto_connesso o di un servizio_correlato, a disposizione della quale il titolare dei dati mette i dati, e che può essere un terzo in seguito a una richiesta da parte dell’ utente al titolare dei dati o conformemente a un obbligo giuridico ai sensi del diritto dell’Unione o della legislazione nazionale adottata conformemente al diritto dell’Unione;

15)

« dati del prodotto»: dati generati dall’uso di un prodotto_connesso e progettati dal fabbricante in modo tale che un utente, un titolare dei dati o un terzo, compreso se del caso il fabbricante, possano reperirli tramite un servizio di comunicazione elettronica, una connessione fisica o l’accesso su dispositivo;

16)

« dati di un servizio_correlato»: dati che rappresentano la digitalizzazione delle azioni o degli eventi degli utenti relativi al prodotto_connesso, registrati intenzionalmente dall’ utente o generati come sottoprodotto dell’azione dell’ utente durante la fornitura di un servizio_correlato da parte del fornitore;

17)	« dati prontamente disponibili»: dati del prodotto e dati di un servizio_correlato che un titolare dei dati ottiene o può ottenere legittimamente dal prodotto_connesso o dal servizio_correlato senza che ciò implichi uno sforzo sproporzionato che vada al di là di una semplice operazione;

18)	« segreto_commerciale»: un segreto_commerciale quale definito all’articolo 2, punto 1, della direttiva (UE) 2016/943;

19)	«detentore del segreto_commerciale»: un detentore del segreto_commerciale quale definito all’articolo 2, punto 2, della direttiva (UE) 2016/943;

20)	« profilazione»: la profilazione quale definita all’articolo 4, punto 4, del regolamento (UE) 2016/679;

21)	« messa_a_disposizione_sul_mercato»: la fornitura di un prodotto_connesso per la distribuzione, il consumo o l’uso sul mercato dell’Unione nel corso di un’attività commerciale, a titolo oneroso o gratuito;

22)	« immissione_sul_mercato»: la prima messa a disposizione di un prodotto_connesso sul mercato dell’Unione;

23)	« consumatore»: qualsiasi persona fisica che agisce per scopi estranei alla propria attività commerciale, imprenditoriale, artigianale o professionale;

24)	« impresa»: una persona fisica o giuridica che, in relazione ai contratti e alle pratiche di cui al presente regolamento, agisce per fini connessi alla propria attività commerciale, imprenditoriale, artigianale o professionale;

25)	«piccola impresa» una piccola impresa quale definita all’articolo 2, paragrafo 2, dell’allegato della raccomandazione 2003/361/CE;

26)	«micro impresa»: una micro impresa quale definita all’articolo 2, paragrafo 3, dell’allegato della raccomandazione 2003/361/CE;

27)	« organismi_dell’Unione»: organi e organismi_dell’Unione istituiti da atti adottati sulla base del trattato sull’Unione europea, del TFUE o del trattato che istituisce la comunità europea dell’energia atomica o ai sensi di tali atti;

28)	« ente_pubblico»: le autorità nazionali, regionali o locali degli Stati membri e gli organismi di diritto pubblico degli Stati membri o le associazioni formate da una o più di tali autorità oppure da uno o più di tali organismi;

29)

« emergenza_pubblica»: una situazione eccezionale, limitata nel tempo, come un’emergenza di sanità pubblica, un’emergenza derivante da calamità naturali, una grave catastrofe di origine antropica, compreso un grave incidente di cibersicurezza, che incide negativamente sulla popolazione dell’Unione o su tutto o parte di uno Stato membro, con il rischio di ripercussioni gravi e durature sulle condizioni di vita o sulla stabilità economica, sulla stabilità finanziaria, o di un sostanziale e immediato degrado delle risorse economiche nell’Unione o nello Stato membro o negli Stati membri interessati e che è determinata o dichiarata ufficialmente in conformità delle pertinenti procedure previste dal diritto dell’Unione o nazionale;

30)	« cliente»: una persona fisica o giuridica che ha instaurato un rapporto contrattuale con un fornitore di servizi di trattamento dei dati con l’obiettivo di utilizzare uno o più servizi di trattamento dei dati;

31)	« assistenti_virtuali»: software che può elaborare richieste, compiti o domande, compresi quelli basati su input sonori o scritti, gesti o movimenti, e che, sulla base di tali richieste, compiti o domande, fornisce accesso ad altri servizi o controlla le funzioni dei prodotti connessi;

32)	« risorse_digitali»: elementi in formato digitale, comprese le applicazioni, relativamente ai quali il cliente ha il diritto d’uso, indipendentemente dal rapporto contrattuale con il servizio di trattamento dei dati che intende abbandonare per passare a un altro;

33)	« infrastruttura_TIC_locale»: un’infrastruttura TIC e risorse informatiche possedute dal cliente, o da questi prese in locazione o noleggiate, situate nel centro dati del cliente stesso e operate dal cliente o da un terzo;

34)

« passaggio»: il processo che coinvolge un fornitore di servizi di trattamento dei dati di origine, un cliente di un servizio di trattamento dei dati e, ove pertinente, un fornitore di servizi di trattamento dei dati di destinazione, nel quale il cliente del servizio di trattamento dei dati passa dall’utilizzo di un servizio di trattamento dei dati all’utilizzo di un altro servizio di trattamento dei dati appartenente allo stesso_tipo_di_servizio, o un altro servizio, offerto da un diverso fornitore di servizi di trattamento dei dati, o a una infrastruttura_TIC_locale, anche mediante l’estrazione, la trasformazione e il caricamento dei dati;

35)	«tariffe di uscita dei dati»: le tariffe di trasferimento dei dati addebitate ai clienti per l’estrazione dei loro dati attraverso la rete dall’infrastruttura TIC di un fornitore di servizi di trattamento dei dati e l’invio ai sistemi di un diverso fornitore o a infrastrutture TIC locali;

36)

«tariffe di passaggio»: le tariffe diverse dalle spese standard di servizio o di risoluzione anticipata, imposte da un fornitore di servizi di trattamento dei dati a un cliente per le azioni imposte dal presente regolamento in caso di passaggio ai sistemi di un diverso fornitore o all’ infrastruttura_TIC_locale, comprese le tariffe di uscita dei dati;

37)

« equivalenza_funzionale»: il ripristino, sulla base dei dati esportabili e delle risorse_digitali del cliente, di un livello minimo di funzionalità nell’ambiente di un nuovo servizio di trattamento dei dati dello stesso_tipo_di_servizio dopo il processo di passaggio, laddove il servizio del trattamento dei dati di destinazione fornisce risultati sostanzialmente comparabili in risposta al medesimo input per le caratteristiche condivise fornite al cliente in virtù del contratto;

38)

« dati esportabili»: ai fini degli articoli da 23 a 31 e dell’articolo 35, i dati di ingresso e uscita, inclusi i meta dati, direttamente o indirettamente generati o cogenerati dall’utilizzo del servizio di trattamento dei dati da parte del cliente, a esclusione di risorse o dati protetti da diritti di proprietà intellettuale, o che costituiscono segreti commerciali, di fornitori di servizi di trattamento dei dati o di terzi;

39)	« contratto_intelligente»: un programma informatico utilizzato per l’esecuzione automatica di un accordo o di parte di esso utilizzando una sequenza di registrazioni elettroniche di dati e garantendone l’integrità e l’accuratezza del loro ordine cronologico;

40)	« interoperabilità»: la capacità di due o più spazi di dati o reti di comunicazione, sistemi, prodotti connessi, applicazioni, servizi di trattamento di dati o componenti di scambiare e utilizzare dati per svolgere le loro funzioni;

41)	«specifica di interoperabilità aperta»: una specifica tecnica delle tecnologie dell’informazione e della comunicazione, orientate alle prestazioni ai fini del conseguimento dell’ interoperabilità tra i servizi di trattamento dei dati;

42)	« specifiche_comuni»: un documento, diverso da una norma, contenente soluzioni tecniche che forniscono i mezzi per soddisfare determinati requisiti e obblighi stabiliti a norma del presente regolamento;

43)	« norma_armonizzata»: una norma_armonizzata, quale definita all’articolo 2, punto 1, lettera c), del regolamento (UE) n. 1025/2012.

CAPO II

CONDIVISIONE DEI DATI DA IMPRESA A CONSUMATORE E DA IMPRESA A IMPRESA

Articolo 3

Obbligo di rendere accessibili all’ utente i dati del prodotto e dei servizi correlati

1. I prodotti connessi sono progettati e fabbricati e i servizi correlati sono progettati e forniti in modo tale che i dati dei prodotti e dei servizi correlati, compresi i pertinenti meta dati necessari a interpretare e utilizzare tali dati, siano, per impostazione predefinita, accessibili all’ utente in modo facile, sicuro, gratuito, in un formato completo, strutturato, di uso comune e leggibile da dispositivo automatico e, ove pertinente e tecnicamente possibile, in modo diretto.

2. Prima di concludere un contratto di acquisto, locazione o noleggio di un prodotto_connesso, il venditore, il locatore o il noleggiante, che può essere il fabbricante, fornisce all’ utente almeno le informazioni seguenti, in modo chiaro e comprensibile:

a)	il tipo, il formato e il volume stimato di dati del prodotto che il prodotto_connesso può generare;

b)	se il prodotto_connesso è in grado di generare dati in modo continuo e in tempo reale;

c)	se il prodotto_connesso è in grado di archiviare dati sul dispositivo o su un server remoto, compresa, se del caso, la durata prevista della conservazione;

d)	il modo in cui l’ utente può accedere a tali dati, reperirli o, se del caso, cancellarli, compresi i mezzi tecnici per farlo, nonché le condizioni d’uso e la qualità del servizio.

3. Prima di concludere un contratto di fornitura di un servizio_correlato, il fornitore di tale servizio_correlato fornisce all’ utente almeno le informazioni seguenti, in modo chiaro e comprensibile:

la natura, il volume stimato e la frequenza di raccolta dei dati del prodotto che il potenziale titolare dei dati dovrebbe ottenere e, se del caso, le modalità con cui l’ utente può accedere a tali dati o reperirli, comprese le modalità di archiviazione dei dati del potenziale titolare dei dati e la durata della loro conservazione;

b)	la natura e il volume stimato dei dati di un servizio_correlato che saranno generati, nonché le modalità con cui l’ utente può accedere a tali dati o reperirli, comprese le modalità di archiviazione dei dati del potenziale titolare dei dati e la durata della conservazione;

c)	se il potenziale titolare dei dati prevede di utilizzare esso stesso i dati prontamente disponibili e le finalità per le quali tali dati saranno utilizzati e se intende consentire a uno o più terzi di utilizzare i dati per le finalità concordate con l’ utente;

d)	l’identità del potenziale titolare dei dati, ad esempio il suo nome commerciale e l’indirizzo geografico al quale è stabilito e, se del caso, di altre parti coinvolte nel trattamento dei dati;

e)	i mezzi di comunicazione che consentono di contattare rapidamente il potenziale titolare dei dati e di comunicare efficacemente con quest’ultimo;

f)	il modo in cui l’ utente può chiedere che i dati siano condivisi con terzi e, se del caso, porre fine alla condivisione dei dati;

g)	il diritto dell’ utente di presentare un reclamo per violazione delle disposizioni del presente capo all’autorità competente designata a norma dell’articolo 37;

se un potenziale titolare dei dati è il detentore di segreti commerciali contenuti nei dati accessibili dal prodotto_connesso o generati nel corso della fornitura di un servizio_correlato e, qualora il potenziale titolare dei dati non sia il detentore di segreti commerciali, l’identità del detentore del segreto_commerciale;

i)	la durata del contratto tra l’ utente e il potenziale titolare dei dati, nonché le modalità per risolvere tale contratto.

Articolo 4

Diritti e obblighi degli utenti e dei titolari dei dati per l’accesso, l’utilizzo e la messa a disposizione dei dati del prodotto e del servizio_correlato

1. Qualora l’ utente non possa accedere direttamente ai dati a partire dal prodotto_connesso o dal servizio_correlato, i titolari dei dati mettono prontamente a disposizione dell’ utente i dati, nonché i pertinenti meta dati necessari per interpretare e utilizzare tali dati senza indebito ritardo, con la stessa qualità di cui dispone il titolare dei dati, in modo facile, sicuro, gratuitamente, in un formato completo, strutturato, di uso comune e leggibile da dispositivo automatico e, ove pertinente e tecnicamente possibile, modo continuo e in tempo reale. Ciò avviene sulla base di una semplice richiesta mediante mezzi elettronici, ove tecnicamente fattibile.

2. Gli utenti e i titolari dei dati possono limitare o vietare contrattualmente l’accesso ai dati, il loro uso o la loro ulteriore condivisione nel caso in cui tale trattamento possa compromettere i requisiti di sicurezza del prodotto_connesso, come previsto dal diritto dell’Unione o nazionale, e comportare gravi effetti negativi per la salute, la sicurezza o la protezione delle persone fisiche. Le autorità settoriali possono fornire agli utenti e ai titolari dei dati competenze tecniche in tale contesto. Qualora rifiuti di condividere i dati ai sensi del presente articolo, il titolare dei dati notifica l’autorità competente designata ai sensi dell’articolo 37.

3. Fatto salvo il diritto dell’ utente di presentare ricorso in qualsiasi momento dinanzi a un organo giurisdizionale di uno Stato membro, in caso di eventuale controversia con il titolare dei dati relativamente a limitazioni o divieti contrattuali di cui al paragrafo 2 l’ utente può:

a)	presentare, conformemente all’articolo 37, paragrafo 5, lettera b), un reclamo all’autorità competente; o

b)	convenire con il titolare dei dati di deferire la questione a un organismo di risoluzione delle controversie in conformità dell’articolo 10, paragrafo 1.

4. I titolari dei dati non rendono indebitamente difficile l’esercizio delle scelte o dei diritti degli utenti a norma del presente articolo, ad esempio offrendo loro scelte in modo non neutrale o compromettendo o pregiudicando l’autonomia, il processo decisionale o le scelte dell’ utente attraverso la struttura, la progettazione, le funzioni o il funzionamento di un’interfaccia utente digitale o di una sua parte.

5. Al fine di verificare se una persona fisica o giuridica si possa considerare un utente ai fini del paragrafo 1, un titolare dei dati non impone a tale persona di fornire informazioni al di là di quanto necessario . I titolari dei dati non conservano informazioni, in particolare dati di registro, sull’accesso dell’ utente ai dati richiesti al di là di quanto necessario per la corretta esecuzione della richiesta di accesso dell’ utente e per la sicurezza e la manutenzione dell’infrastruttura di dati.

6. I segreti commerciali sono conservati e comunicati solo a condizione che prima della comunicazione il titolare dei dati e l’ utente adottino tutte le misure necessarie per tutelarne la riservatezza, in particolare rispetto a terzi. Il titolare dei dati o, qualora non si tratti della stessa persona, il detentore del segreto_commerciale individua i dati protetti quali segreti commerciali, anche nei pertinenti meta dati, e concorda con l’ utente le misure tecniche e organizzative proporzionate necessarie a preservare la riservatezza dei dati condivisi, in particolare rispetto a terzi, quali clausole contrattuali tipo, accordi di riservatezza, protocolli di accesso rigorosi, norme tecniche e l’applicazione di codici di condotta.

7. In assenza di accordo sulle misure necessarie di cui al paragrafo 6 o qualora l’ utente non attui le misure concordate a norma del paragrafo 6 o pregiudichi la riservatezza dei segreti commerciali, il titolare dei dati può bloccare o, se del caso, sospendere la condivisione dei dati identificati come segreti commerciali. La decisione del titolare dei dati è debitamente motivata e fornita all’ utente per iscritto e senza indebito ritardo. In tali casi il titolare dei dati notifica all’autorità competente designata a norma dell’articolo 37 di aver bloccato o sospeso la condivisione dei dati e indica quali misure non sono state concordate o attuate e, se del caso, di quali segreti commerciali è stata pregiudicata la riservatezza.

8. In circostanze eccezionali, qualora il titolare dei dati che è detentore di un segreto_commerciale possa dimostrare che subirà molto probabilmente gravi danni economici a causa della divulgazione di segreti commerciali, malgrado le misure tecniche e organizzative adottate dall’ utente a norma del paragrafo 6 del presente articolo, detto titolare dei dati può rifiutare di volta in volta una richiesta di accesso ai dati specifici in questione. Tale dimostrazione è debitamente motivata sulla base di elementi oggettivi, in particolare l’applicabilità della protezione dei segreti commerciali in paesi terzi, la natura e il livello di riservatezza dei dati richiesti nonché l’unicità e la novità del prodotto_connesso, ed è fornita per iscritto all’ utente e senza indebito ritardo. Qualora rifiutasse di condividere i dati ai sensi del presente paragrafo, il titolare dei dati notifica l’autorità competente designata a norma dell’articolo 37.

9. Fatto salvo il diritto di un utente di presentare ricorso in qualsiasi momento dinanzi a un organo giurisdizionale di uno Stato membro, un utente che intenda contestare la decisione di un titolare dei dati di rifiutare, o di bloccare o sospendere la condivisione di dati a norma dei paragrafi 7 e 8 può:

a)	presentare, conformemente all’articolo 37, paragrafo 5, lettera b), un reclamo all’autorità competente che decide senza indebito ritardo se e a quali condizioni debba iniziare o riprendere la condivisione dei dati; o

b)	convenire con il titolare dei dati di deferire la questione a un organismo di risoluzione delle controversie in conformità dell’articolo 10, paragrafo 1.

10. L’ utente non utilizza i dati ottenuti in seguito a una richiesta di cui al paragrafo 1 per sviluppare un prodotto_connesso in concorrenza con il prodotto_connesso da cui provengono i dati, né li condivide con un terzo con tale intenzione e non utilizza tali dati per ottenere informazioni sulla situazione economica, sulle risorse e sui metodi di produzione del fabbricante o, se applicabile, del titolare dei dati.

11. L’ utente non utilizza mezzi coercitivi né abusa di lacune nell’infrastruttura tecnica del titolare dei dati destinata a proteggere i dati al fine di ottenere l’accesso agli stessi.

12. Se l’ utente non è l’ interessato i cui dati personali sono richiesti, i dati personali generati dall’uso di un prodotto_connesso o di un servizio_correlato sono messi a disposizione dell’ utente dal titolare dei dati solo se esiste una valida base giuridica del trattamento a norma dell’articolo 6 del regolamento (UE) 2016/679 e, ove pertinente, se sono soddisfatte le condizioni di cui all’articolo 9 di detto regolamento e all’articolo 5, paragrafo 3, della direttiva 2002/58/CE.

13. Un titolare dei dati utilizza eventuali dati non personali prontamente disponibili solo sulla base di un contratto stipulato con l’ utente. Un titolare dei dati non utilizza tali dati per ottenere informazioni sulla situazione economica, sulle risorse e sui metodi di produzione dell’ utente, o sull’utilizzo da parte di quest’ultimo in qualsiasi altro modo che potrebbe compromettere la sua posizione commerciale sui mercati in cui l’ utente è attivo.

14. I titolari dei dati non mettono a disposizione di terzi i dati non personali del prodotto a fini commerciali o non commerciali diversi dall’esecuzione del loro contratto con l’ utente. Se del caso, i titolari dei dati vincolano contrattualmente i terzi a non condividere ulteriormente i dati da essi ricevuti.

Articolo 5

Diritto dell’ utente di condividere i dati con terzi

1. Su richiesta di un utente, o di una parte che agisce per conto di un utente, il titolare dei dati mette a disposizione di terzi i dati prontamente disponibili, nonché i pertinenti meta dati necessari a interpretare e utilizzare tali dati, senza indebito ritardo, con la stessa qualità di cui dispone il titolare dei dati, in modo facile, sicuro, a titolo gratuito per l’ utente, in un formato completo, strutturato, di uso comune e leggibile da dispositivo automatico e, ove pertinente e tecnicamente possibile, in modo continuo e in tempo reale. I dati sono messi a disposizione del terzo dal titolare dei dati in conformità degli articoli 8 e 9.

2. Il paragrafo 1 non si applica ai dati prontamente disponibili nel contesto del collaudo di nuovi prodotti connessi, sostanze o processi non ancora immessi sul mercato a meno che il loro utilizzo da parte di terzi non sia autorizzato contrattualmente.

3. Qualsiasi impresa designata come gatekeeper a norma dell’articolo 3 del regolamento (UE) 2022/1925 non è un terzo ammissibile ai sensi del presente articolo e pertanto:

a)	non sollecita né fornisce incentivi commerciali all’ utente in qualsiasi modo, anche fornendo compensi pecuniari o di altro tipo, affinché metta i dati a disposizione di uno dei suoi servizi che l’ utente ha ottenuto in seguito a una richiesta a norma dell’articolo 4, paragrafo 1;

b)	non sollecita né fornisce incentivi commerciali all’ utente affinché chieda al titolare dei dati di mettere i dati a disposizione di uno dei suoi servizi a norma del paragrafo 1 del presente articolo;

c)	non riceve dall’ utente dati che quest’ultimo ha ottenuto in seguito a una richiesta a norma dell’articolo 4, paragrafo 1.

4. Al fine di verificare se una persona fisica o giuridica si possa considerare un utente o un terzo ai fini del paragrafo 1, l’ utente o il terzo non è tenuto a fornire informazioni al di là di quanto necessario . I titolari dei dati non conservano informazioni sull’accesso del terzo ai dati richiesti al di là di quanto necessario per la corretta esecuzione della richiesta di accesso del terzo e per la sicurezza e la manutenzione dell’infrastruttura di dati.

5. Il terzo non utilizza mezzi coercitivi né abusa di lacune nell’infrastruttura tecnica di un titolare dei dati destinata a proteggere i dati al fine di ottenere l’accesso ai dati.

6. Un titolare dei dati non utilizza dati prontamente disponibili per ottenere informazioni sulla situazione economica, sulle risorse e sui metodi di produzione del terzo, o sull’utilizzo da parte di quest’ultimo in qualsiasi altro modo che potrebbe compromettere la posizione commerciale del terzo sui mercati in cui è attivo, a meno che quest’ultimo non abbia autorizzato tale uso e abbia la possibilità tecnica di revocare facilmente tale autorizzazione in qualsiasi momento.

7. Se l’ utente non è l’ interessato i cui dati personali sono richiesti, i dati personali generati dall’uso di un prodotto_connesso o di un servizio_correlato, sono messi a disposizione del terzo dal titolare dei dati solo se esiste una valida base giuridica per il trattamento a norma dell’articolo 6 del regolamento (UE) 2016/679 e, ove pertinente, se sono soddisfatte le condizioni di cui all’articolo 9 di detto regolamento e all’articolo 5, paragrafo 3, della direttiva 2002/58/CE.

8. La mancanza di accordo, da parte del titolare dei dati e del terzo, sulle modalità per la trasmissione dei dati non ostacola, impedisce o interferisce con l’esercizio dei diritti dell’ interessato a norma del regolamento (UE) 2016/679 e, in particolare, con il diritto alla portabilità dei dati di cui all’articolo 20 di tale regolamento.

9. I segreti commerciali sono conservati e comunicati a terzi solo nella misura in cui tale divulgazione è strettamente necessaria per conseguire la finalità concordata tra l’ utente e il terzo. Il titolare dei dati o, qualora non si tratti della stessa persona, il detentore del segreto_commerciale individua i dati protetti quali segreti commerciali, anche nei pertinenti meta dati, e concorda con il terzo le misure tecniche e organizzative proporzionate necessarie a preservare la riservatezza dei dati condivisi, quali clausole contrattuali tipo, accordi di riservatezza, protocolli di accesso rigorosi, norme tecniche e l’applicazione di codici di condotta.

10. In assenza di accordo sulle misure necessarie di cui al paragrafo 9 del presente articolo o qualora il terzo non attui le misure concordate ai sensi del paragrafo 9 del presente articolo o pregiudichi la riservatezza dei segreti commerciali, il titolare dei dati può bloccare o, se del caso, sospendere la condivisione dei dati identificati come segreti commerciali. La decisione del titolare dei dati è debitamente motivata e fornita al terzo per iscritto e senza indebito ritardo. In tali casi il titolare dei dati notifica all’autorità competente designata a norma dell’articolo 37 di aver bloccato o sospeso la condivisione dei dati e indica quali misure non sono state concordate o attuate e, se del caso, di quali segreti commerciali è stata pregiudicata la riservatezza.

11. In circostanze eccezionali, qualora il titolare dei dati che è detentore di un segreto_commerciale possa dimostrare che subirà molto probabilmente gravi danni economici a causa della divulgazione di segreti commerciali, malgrado le misure tecniche e organizzative adottate dal terzo di cui al paragrafo 9 del presente articolo, tale titolare dei dati può rifiutare di volta in volta una richiesta di accesso ai dati specifici in questione. Tale dimostrazione è debitamente motivata sulla base di elementi oggettivi, in particolare l’applicabilità della protezione dei segreti commerciali in paesi terzi, la natura e il livello di riservatezza dei dati richiesti nonché l’unicità e la novità del prodotto_connesso, ed è fornita per iscritto al terzo senza indebito ritardo. Qualora rifiuti di condividere i dati ai sensi del presente paragrafo, il titolare dei dati notifica l’autorità competente designata a norma dell’articolo 37.

12. Fatto salvo il diritto del terzo di presentare ricorso in qualsiasi momento dinanzi a un organo giurisdizionale di uno Stato membro, un terzo che intenda contestare la decisione del titolare dei dati di rifiutare, o di bloccare o sospendere la condivisione di dati a norma dei paragrafi 10 e 11 può:

a)	presentare, conformemente all’articolo 37, paragrafo 5, lettera b), un reclamo all’autorità competente che decide senza indebito ritardo se e a quali condizioni debba iniziare o riprendere la condivisione dei dati; o

b)	convenire con il titolare dei dati di deferire la questione a un organismo di risoluzione delle controversie in conformità dell’articolo 10, paragrafo 1.

13. Il diritto di cui al paragrafo 1 non deve ledere i diritti degli interessati a norma del diritto dell’Unione e nazionale applicabile in materia di protezione dei dati personali.

Articolo 6

Obblighi dei terzi che ricevono dati su richiesta dell’ utente

1. Un terzo tratta i dati messi a sua disposizione a norma dell’articolo 5 solo per le finalità e alle condizioni concordate con l’ utente e fatti salvi il diritto dell’Unione e nazionale in materia di protezione dei dati personali compresi i diritti dell’ interessato per quanto riguarda i dati personali. Il terzo cancella i dati quando non sono più necessari per la finalità concordata, salvo diverso accordo con l’ utente relativamente ai dati non personali.

2. Il terzo:

non rende indebitamente difficile l’esercizio da parte dell’ utente delle scelte o dei diritti a norma dell’articolo 5 e del presente articolo, magari offrendogli scelte in modo non neutrale, o ricorrendo a mezzi coercitivi, ingannevoli o manipolatori nei suoi confronti, o compromettendone o pregiudicandone l’autonomia, il processo decisionale o le scelte, anche mediante un’interfaccia utente digitale o una sua parte;

b)	fatto salvo l’articolo 22, paragrafo 2, lettere a) e c), del regolamento (UE) 2016/679, non utilizza i dati che riceve per la profilazione, a meno che ciò non sia necessario per fornire il servizio richiesto dall’ utente;

non mette a disposizione di altri terzi i dati che riceve, a meno che i dati siano messi a disposizione sulla base di un contratto con l’ utente e a condizione che l’altro terzo adotti tutte le misure necessarie concordate tra il titolare dei dati e il terzo per preservare la riservatezza dei segreti commerciali;

d)	non mette i dati che riceve a disposizione di un’ impresa designata come gatekeeper a norma dell’articolo 3 del regolamento (UE) 2022/1925;

non utilizza i dati che riceve per sviluppare un prodotto in concorrenza con il prodotto_connesso da cui provengono i dati consultati né condivide i dati con un altro terzo a tal fine; i terzi non utilizzano inoltre alcun dato non personale del prodotto o di un servizio_correlato messo a loro disposizione per ottenere informazioni sulla situazione economica, sulle risorse e sui metodi di produzione del titolare dei dati o sull’utilizzo da parte di quest’ultimo;

f)	non utilizza i dati che riceve in modo tale da avere un impatto negativo sulla sicurezza del prodotto_connesso o del servizio_correlato;

g)	non disattende le misure specifiche concordate con il titolare dei dati o con il detentore dei segreti commerciali a norma dell’articolo 5, paragrafo 9, né pregiudica la riservatezza dei segreti commerciali;

h)	non impedisce all’ utente che è anche consumatore, neanche in base a un contratto, di mettere i dati che riceve a disposizione di altre parti.

Articolo 10

Risoluzione delle controversie

1. Gli utenti, i titolari dei dati e i destinatari dei dati hanno accesso a un organismo di risoluzione delle controversie, certificati in conformità al paragrafo 5 del presente articolo, per comporre le controversie ai sensi dell’articolo 4, paragrafi 3 e 9, e dell’articolo 5, paragrafo 12, nonché le controversie relative all’adempimento, da parte del titolare dei dati, dell’obbligo di mettere i dati a disposizione del destinatario dei dati, nonché a condizioni eque, ragionevoli e non discriminatori e a modalità trasparenti di messa a disposizione dei dati a norma del presente capo e del capo IV.

2. Gli organismi di risoluzione delle controversie rendono noti alle parti interessate le tariffe, o i meccanismi utilizzati per determinare tali tariffe, prima che le parti interessate richiedano una decisione.

3. In caso di controversie deferite a un organismo di risoluzione delle controversie di cui all’articolo 4, paragrafo 3, qualora l’organismo di risoluzione delle controverse risolva la controversia a favore dell’ utente o del destinatario dei dati, il titolare dei dati sostiene tutti i costi stabiliti dall’organismo di risoluzione delle controversie e rimborsa all’ utente o al destinatario dei dati tutte le altre spese ragionevoli da questi sostenute relativamente alla risoluzione della controversia. Qualora l’organismo di risoluzione delle controverse risolva la controversia a favore del titolare dei dati, l’ utente o il destinatario dei dati non è tenuto a rimborsare costi o altre spese che il titolare dei dati ha sostenuto o deve sostenere relativamente alla risoluzione della controversia, a meno che l’organismo di risoluzione delle controversie ritenga che l’ utente o il destinatario dei dati abbia agito manifestamente in malafede.

4. I clienti e i fornitori di servizi di trattamento dei dati hanno accesso a un organismo di risoluzione delle controversie, certificati in conformità del paragrafo 6 del presente articolo, per comporre le controversie relative a violazioni dei diritti dei clienti e degli obblighi dei fornitori di servizi di trattamento dei dati, in conformità degli articoli da 23 a 31.

5. Su richiesta dell’organismo di risoluzione delle controversie lo Stato membro in cui questi è stabilito certifica che l’organismo ha dimostrato di soddisfare tutte le condizioni seguenti:

a)	è imparziale e indipendente e adotterà le proprie decisioni conformemente a norme procedurali chiare, non discriminatorie ed eque;

b)	dispone delle competenze necessarie, in particolare in relazione a condizioni eque, ragionevoli e non discriminatori, compreso il compenso, e alla messa a disposizione dei dati in modo trasparente, che consentono all’organismo di determinare efficacemente tali condizioni;

c)	è facilmente accessibile attraverso le tecnologie di comunicazione elettronica;

d)	è in grado di adottare le proprie decisioni in modo rapido, efficiente ed efficace sotto il profilo dei costi in almeno una delle lingue ufficiali dell’Unione.

6. Gli Stati membri notificano alla Commissione gli organismi di risoluzione delle controversie certificati in conformità del paragrafo 5. La Commissione pubblica un elenco di tali organismi su un sito web dedicato e lo mantiene aggiornato.

7. Un organismo di risoluzione delle controversie rifiuta di dare seguito a una richiesta di risoluzione di una controversia già presentata dinanzi a un altro organismo di risoluzione delle controversie o dinanzi a un organo giurisdizionale di uno Stato membro.

8. Un organismo di risoluzione delle controversie concede alle parti la possibilità, entro un termine ragionevole, di esprimere il loro punto di vista sulle questioni che le parti hanno sottoposto a tale organismo. In tale contesto, ciascuna delle parti in causa trasmette alle parti le comunicazioni relative alla controversia presentate dall’altra parte e le eventuali dichiarazioni di esperti. Alle parti è data la possibilità di presentare osservazioni in merito a tali comunicazioni e dichiarazioni.

9. Un organismo di risoluzione delle controversie adotta la sua decisione su una questione sottopostagli entro 90 giorni dal ricevimento di una richiesta ai sensi dei paragrafi 1 e 4. Tale decisione è adottata per iscritto o su un supporto durevole ed è suffragata da una motivazione.

10. Gli organismi di risoluzione delle controversie redigono e rendono pubbliche le relazioni annuali di attività. Tali relazioni annuali contengono in particolare le informazioni generali seguenti:

a)	un’aggregazione dei risultati delle controversie;

b)	il tempo medio necessario per la risoluzione delle controversie;

c)	i motivi più comuni alla base delle controversie.

11. Al fine di agevolare lo scambio di informazioni e migliori prassi, un organismo pubblico di risoluzione delle controversie può decidere di includere raccomandazioni nella relazione di cui al paragrafo 10 su come evitare o risolvere problemi.

12. La decisione dell’organismo di risoluzione delle controversie è vincolante per le parti solo se le parti hanno esplicitamente acconsentito al suo carattere vincolante prima dell’avvio del procedimento di risoluzione delle controversie.

13. Il presente articolo non pregiudica il diritto delle parti a un ricorso effettivo dinanzi a un organo giurisdizionale di uno Stato membro.

Articolo 11

Misure tecniche di protezione relative all’uso non autorizzato o alla divulgazione dei dati

1. Un titolare dei dati può applicare adeguate misure tecniche di protezione, compresi i contratti intelligenti e la cifratura, per impedire l’accesso non autorizzato ai dati, meta dati compresi, e garantire il rispetto degli articoli 4, 5, 6, 8 e 9, nonché delle clausole contrattuali concordate per la messa a disposizione dei dati. Tali misure tecniche di protezione non creano discriminazioni tra i destinatari dei dati né ostacolano il diritto dell’ utente di ottenere una copia, reperire, utilizzare o accedere ai dati o fornire dati a terzi a norma dell’articolo 5 o qualsiasi diritto di terzi a norma del diritto dell’Unione o della legislazione nazionale adottata ai sensi del diritto dell’Unione. Gli utenti, i terzi e altri destinatari dei dati non modificano né rimuovono dette misure tecniche di protezione, salvo accordo con il titolare dei dati.

2. Nelle circostanze di cui al paragrafo 3, il terzo o il destinatario dei dati adempie, senza indebito ritardo, alle richieste del titolare dei dati e, se del caso e qualora non si tratti della stessa persona, del detentore del segreto_commerciale, oppure dell’ utente di:

a)	cancellare i dati messi a disposizione dal titolare dei dati e le loro eventuali copie;

porre fine alla produzione, all’offerta o all’ immissione_sul_mercato o all’uso di beni, dati derivati o servizi prodotti sulla base delle conoscenze ottenute mediante tali dati, o all’importazione, all’esportazione o allo stoccaggio di merci costituenti violazione a tali fini, e a distruggere le merci costituenti violazione, qualora sussista un grave rischio che l’uso illecito di tali dati causi un danno significativo al titolare dei dati, al detentore del segreto_commerciale o all’ utente oppure qualora una tale misura non sarebbe sproporzionata rispetto agli interessi del titolare dei dati, del detentore del segreto_commerciale o dell’ utente;

c)	informare l’ utente dell’uso o della divulgazione non autorizzati dei dati e delle misure adottate per porre fine all’uso o alla divulgazione non autorizzati dei dati;

d)	compensare la parte lesa dall’uso improprio o dalla divulgazione di tali dati utilizzati o cui si ha avuto accesso in modo illecito.

3. Il paragrafo 2 si applica qualora un terzo o un destinatario dei dati :

a)	al fine di ottenere dati , abbia fornito a un titolare dei dati informazioni false, ha impiegato mezzi ingannevoli o coercitivi o ha abusato di lacune nell’infrastruttura tecnica del titolare dei dati destinata a proteggere i dati;

b)	abbia utilizzato i dati messi a disposizione per scopi non autorizzati, compreso lo sviluppo di un prodotto_connesso concorrente ai sensi dell’articolo 6, paragrafo 2, lettera e);

c)	abbia comunicato illecitamente i dati a terzi;

d)	non abbia mantenuto le misure tecniche e organizzative concordate a norma dell’articolo 5, paragrafo 9; o

e)	abbia modificato o rimosso le misure tecniche di protezioni applicate dal titolare dei dati, in conformità del paragrafo 1 del presente articolo, senza l’accordo del titolare dei dati.

4. Il paragrafo 2 si applica altresì qualora un utente modifichi o rimuova le misure tecniche di protezione applicate dal titolare dei dati oppure non mantenga le misure tecniche e organizzative adottate dall’ utente in accordo con il titolare dei dati o, qualora non si tratti della stessa persona, con il detentore del segreto_commerciale al fine di preservare i segreti commerciali, nonché riguardo a qualsiasi terzo che riceva i dati dall’ utente mediante una procedura d’infrazione del presente regolamento.

5. Qualora il destinatario dei dati violi l’articolo 6, paragrafo 2, lettere a) e b), gli utenti hanno gli stessi diritti dei titolari dei dati a norma del presente articolo.

Articolo 13

Clausole contrattuali abusive imposte unilateralmente a un’altra impresa

1. Una clausola contrattuale riguardante l’accesso ai dati e il relativo utilizzo o la responsabilità e i mezzi di ricorso per la violazione o la cessazione degli obblighi relativi ai dati che è stata imposta unilateralmente da un’ impresa a un’altra impresa non è vincolante per quest’ultima impresa se tale clausola è abusiva.

2. Una clausola contrattuale che riproduce le disposizioni obbligatorie del diritto dell’Unione, oppure le disposizioni del diritto dell’Unione che si applicherebbero se le clausole contrattuali non disciplinassero la materia, non è ritenuta abusiva.

3. Una clausola contrattuale è abusiva se è di natura tale che il suo utilizzo si discosta considerevolmente dalle buone prassi commerciali in materia di accesso ai dati e relativo utilizzo, in contrasto con il principio di buona fede e correttezza.

4. In particolare, una clausola contrattuale è abusiva ai fini del paragrafo 3 se ha per oggetto o effetto di:

a)	escludere o limitare la responsabilità della parte che ha imposto unilateralmente la clausola in caso di atti intenzionali o negligenza grave;

b)	escludere i mezzi di ricorso a disposizione della parte alla quale la clausola è stata imposta unilateralmente in caso di inadempimento degli obblighi contrattuali o la responsabilità della parte che ha imposto unilateralmente la clausola in caso di violazione di tali obblighi;

c)	conferire alla parte che ha imposto unilateralmente la clausola il diritto esclusivo di determinare se i dati forniti sono conformi al contratto o di interpretare una qualsiasi clausola del contratto.

5. Si presume che una clausola contrattuale sia abusiva ai fini del paragrafo 3 se ha per oggetto o effetto di:

a)	limitare in modo inappropriato i mezzi di ricorso in caso di inadempimento degli obblighi contrattuali o la responsabilità in caso di violazione di tali obblighi, oppure estendere la responsabilità dell’ impresa cui è stata imposta unilateralmente la clausola;

consentire alla parte che ha imposto unilateralmente la clausola di accedere ai dati dell’altra parte contraente e di utilizzarli in modo tale da nuocere significativamente ai legittimi interessi dell’altra parte contraente, in particolare quando tali dati contengano dati sensibili sotto il profilo commerciale o sono protetti da segreti commerciali o da diritti di proprietà intellettuale;

impedire alla parte alla quale è stata imposta unilateralmente la clausola di utilizzare i dati che tale parte ha fornito o generato durante il periodo del contratto, o limitare l’utilizzo di tali dati in misura tale da privare tale parte del diritto di utilizzare, acquisire o controllare tali dati, di accedervi o di sfruttarne il valore in modo adeguato;

d)	impedire alla parte alla quale è stata imposta unilateralmente la clausola di recedere dall’accordo entro un termine ragionevole;

e)	impedire alla parte alla quale è stata imposta unilateralmente la clausola di ottenere una copia dei dati che tale parte ha fornito o generato durante il periodo del contratto o entro un termine ragionevole dopo la risoluzione dello stesso;

consentire alla parte che ha imposto unilateralmente la clausola di risolvere il contratto con un preavviso irragionevolmente breve, tenendo conto di qualsiasi ragionevole possibilità dell’altra parte contraente di passare a un servizio alternativo e comparabile e del danno finanziario causato da tale risoluzione, salvo quando sussistano gravi motivi;

consentire alla parte che ha imposto unilateralmente la clausola di modificare sostanzialmente il prezzo specificato nel contratto o qualsiasi altra condizione sostanziale relativa alla natura, al formato, alla qualità o alla quantità dei dati da condividere, qualora non sia specificato nel contratto alcun motivo valido e alcun diritto dell’altra parte di risolvere il contratto nel caso di una tale modifica.

La lettera g) del primo comma non pregiudica le clausole con le quali la parte che ha imposto unilateralmente la clausola si riserva il diritto di modificare unilateralmente le clausole di un contratto a durata indeterminata, a condizione che il contratto specifichi un motivo valido per tali modifiche unilaterali, che la parte che ha imposto unilateralmente la clausola sia tenuta ad avvisare l’altra parte contraente con un preavviso ragionevole di ogni modifica prevista, e che l’altra parte contraente sia libera di risolvere il contratto senza incorrere in alcun costo nel caso di una modifica.

6. Si considera imposta unilateralmente ai sensi del presente articolo la clausola stata inserita da una parte contraente senza che l’altra parte sia stata in grado di influenzarne il contenuto malgrado un tentativo di negoziarla. La parte contraente che ha inserito la clausola contrattuale ha l’onere di provare che tale clausola non è stata imposta unilateralmente. La parte contraente che ha inserito la clausola contrattuale controversa non può invocare il carattere abusivo della clausola contrattuale.

7. Se la clausola contrattuale abusiva è scindibile dalle altre clausole contrattuali, le clausole rimanenti hanno carattere vincolante.

8. Il presente articolo non si applica alle clausole contrattuali che definiscono l’oggetto principale del contratto né all’adeguatezza del prezzo rispetto ai dati forniti in cambio.

9. Le parti di un contratto contemplato dal paragrafo 1 non escludono l’applicazione del presente articolo, non vi derogano né ne modificano gli effetti.

CAPO V

METTERE I DATI A DISPOSIZIONE DI ENTI PUBBLICI, DELLA COMMISSIONE, DELLA BANCA CENTRALE EUROPEA E DI ORGANISMI DELL’UNIONE SULLA BASE DI NECESSITÀ ECCEZIONALI

Articolo 14

Obbligo di mettere a disposizione i dati sulla base di necessità eccezionali

Qualora un ente_pubblico, la Commissione, la Banca centrale europea o un organismo dell’Unione dimostri una necessità eccezionale, di cui all’articolo 15, di utilizzare taluni dati, ivi compresi i pertinenti meta dati necessari per interpretare e utilizzare tali dati, per svolgere le proprie funzioni statutarie nell’interesse pubblico, i titolari dei dati che sono persone giuridiche diverse da enti pubblici e che detengono tali dati li mettono a disposizione su richiesta motivata.

Articolo 15

Necessità eccezionale di utilizzare i dati

1. Una necessità eccezionale di utilizzare determinati dati ai sensi del presente capo è limitata nel tempo e nella portata e si considera esistente esclusivamente in una delle circostanze seguenti:

a)	se i dati richiesti sono necessari per rispondere a un’ emergenza_pubblica e l’ ente_pubblico, la Commissione, la Banca centrale europea o l’organismo dell’Unione non può ottenere tali dati con mezzi alternativi in modo tempestivo ed efficace a condizioni equivalenti;

in circostanze non contemplate dalla lettera a) e solo nella misura in cui si tratti di dati non personali qualora:

un ente_pubblico, la Commissione, la Banca centrale europea o un organismo dell’Unione agisca sulla base del diritto dell’Unione o nazionale e abbia individuato dati specifici la cui mancanza gli impedisce di svolgere un compito specifico svolto nell’interesse pubblico esplicitamente previsto dalla legge, quali la redazione di statistiche ufficiali, la mitigazione o la ripresa dopo un’ emergenza_pubblica; e

ii)

l’ ente_pubblico, la Commissione, la Banca centrale europea o l’organismo dell’Unione abbia esaurito tutti gli altri mezzi a sua disposizione per ottenere tali dati, compresi, l’acquisto dei dati sul mercato ai prezzi di mercato o il ricorso a obblighi vigenti in materia di messa a disposizione dei dati oppure l’adozione di nuove misure legislative che potrebbero garantire la tempestiva disponibilità dei dati.

2. Il paragrafo 1, lettera b), non si applica alle microimprese e alle piccole imprese.

3. L’obbligo di dimostrare che l’ ente_pubblico non ha potuto ottenere i dati non personali acquistandoli sul mercato non si applica quando il compito specifico svolto nell’interesse pubblico è la produzione di statistiche ufficiali e quando l’acquisto di tali dati non è autorizzato dal diritto nazionale.

Articolo 17

Richieste di messa a disposizione di dati

1. Se richiede dati a norma dell’articolo 14, un ente_pubblico, la Commissione, la Banca centrale europea o un organismo dell’Unione:

a)	specifica i dati richiesti, compresi i pertinenti meta dati necessari per interpretare e utilizzare tali dati;

b)	dimostra che sono soddisfatte le condizioni necessarie perché sussista una necessità eccezionale di cui all’articolo 15 al cui fine sono richiesti i dati;

spiega la finalità della richiesta, l’utilizzo previsto dei dati richiesti, compreso, se del caso, da parte di un terzo in conformità del paragrafo 4 del presente articolo, la durata di tale utilizzo e, se pertinente, le modalità con cui il trattamento dei dati personali risponderà alla necessità eccezionale;

d)	specifica, se possibile, quando si prevede che i dati siano cancellati da tutte le parti che vi hanno accesso;

e)	giustifica la scelta del titolare dei dati cui è rivolta la richiesta;

f)	specifica gli eventuali altri enti pubblici, o la Commissione, la Banca centrale europea o gli organismi_dell’Unione e i terzi con i quali si prevede che saranno condivisi i dati richiesti;

qualora siano richiesti dati personali, specifica le misure tecniche e organizzative necessarie e proporzionate per attuare i principi di protezione dei dati e le garanzie necessarie, quali la pseudonimizzazione, come anche la possibilità o meno, per il titolare dei dati, di applicare l’anonimizzazione prima di mettere i dati a disposizione;

h)	indica la disposizione legislativa che attribuisce all’ ente_pubblico richiedente, alla Commissione, alla Banca centrale europea o all’organismo dell’Unione lo specifico compito svolto nell’interesse pubblico pertinente per la richiesta dei dati;

i)	specifica il termine entro il quale i dati devono essere messi a disposizione e il termine di cui all’articolo 18, paragrafo 2, entro il quale il titolare dei dati può rifiutare o chiedere la modifica della richiesta;

j)	si adopera al meglio per evitare che il soddisfacimento della richiesta di dati comporti la responsabilità del titolare dei dati per violazione del diritto dell’Unione o nazionale.

2. Una richiesta di dati presentata a norma del paragrafo 1 del presente articolo:

a)	è presentata per iscritto ed espressa in un linguaggio chiaro, conciso e semplice, comprensibile per il titolare dei dati;

b)	è specifica per quanto riguarda il tipo di dati richiesti e corrisponde ai dati su cui il titolare dei dati ha il controllo al momento della richiesta;

c)	è proporzionata alla necessità eccezionale e debitamente giustificata, per quanto riguarda la granularità e il volume dei dati richiesti e la frequenza di accesso ai dati richiesti;

d)	rispetta gli obiettivi legittimi del titolare dei dati, impegnandosi a rispettare la tutela dei segreti commerciali in conformità dell’articolo 19, paragrafo 3, e tenendo conto dei costi e degli sforzi necessari per mettere a disposizione i dati;

riguarda dati non personali e, solo nel caso in cui sia dimostrato che ciò è insufficiente a rispondere alla necessità eccezionale di usare i dati, in conformità dell’articolo 15, paragrafo 1, lettera a), richiede dati personali in forma pseudominizzata e istituisce le misure tecniche e organizzative che saranno adottate per proteggere i dati;

f)	informa il titolare dei dati delle sanzioni che l’autorità competente designata ai sensi dell’articolo 37 impone a norma dell’articolo 40 in caso di mancato soddisfacimento della richiesta;

qualora sia presentata da un ente_pubblico, è trasmessa al coordinatore dei dati, di cui all’articolo 37, dello Stato membro in cui è stabilito l’ ente_pubblico richiedente, che mette la richiesta a disposizione del pubblico online senza indebito ritardo, a meno che ritenga che tale pubblicazione costituirebbe un rischio per la sicurezza pubblica;

h)	qualora la richiesta sia presentata dalla Commissione, dalla Banca centrale europea e da un organismo dell’Unione è resa disponibile al pubblico online senza indebito ritardo;

i)	qualora siano richiesti dati personali, è notificata senza indebito ritardo all’autorità di controllo responsabile di sorvegliare l’applicazione del regolamento (UE) 2016/679 nello Stato membro in cui l’ ente_pubblico è stabilito.

La Banca centrale europea e gli organismi_dell’Unione informano la Commissione delle loro richieste

3. Un ente_pubblico, la Commissione, la Banca centrale europea o un organismo dell’Unione non mette i dati ottenuti a norma del presente capo a disposizione per il riutilizzo ai sensi dell’articolo 2, punto 2), del regolamento (UE) 2022/868 o dell’articolo 2, punto 11), della direttiva (UE) 2019/1024. Il regolamento (UE) 2022/868 e la direttiva (UE) 2019/1024 non si applicano ai dati detenuti da enti pubblici ottenuti a norma del presente capo.

4. Il paragrafo 3 del presente articolo non preclude a un ente_pubblico, o alla Commissione, alla Banca centrale europea o a un organismo dell’Unione di scambiare i dati ottenuti a norma del presente capo con altri enti pubblici, la Commissione, la Banca centrale europea o un organismo dell’Unione al fine di svolgere i compiti di cui all’articolo 15, secondo quanto specificato nella richiesta a norma del paragrafo 1, lettera f ) del presente articolo, o di mettere i dati a disposizione di un terzo nei casi in cui abbia delegato a tale terzo, mediante un accordo accessibile al pubblico, ispezioni tecniche o altre funzioni. Gli obblighi incombenti agli enti pubblici a norma dell’articolo 19, in particolare le garanzie tese a preservare la riservatezza dei segreti commerciali, si applicano anche a detti terzi. Se trasmette o mette a disposizione dati a norma del presente paragrafo, un ente_pubblico o la Commissione, la Banca centrale europea o un organismo dell’Unione ne informa senza indebito ritardo il titolare dei dati che li ha trasmessi.

5. Se ritiene che i suoi diritti di cui al presente capo siano stati violati dalla trasmissione o dalla messa a disposizione dei dati, il titolare dei dati può presentare un reclamo all’autorità competente, designata ai sensi dell’articolo 37, dello Stato membro in cui è stabilito.

6. La Commissione elabora un modello per le richieste a norma del presente articolo.

Articolo 19

Obblighi degli enti pubblici, della Commissione, della Banca centrale europea e degli organismi_dell’Unione

1. Un ente_pubblico, la Commissione, la Banca centrale europea o un organismo dell’Unione che riceve dati in seguito a una richiesta presentata a norma dell’articolo 14:

a)	non utilizza i dati in modo incompatibile con la finalità per la quale sono stati richiesti;

b)	ha attuato misure tecniche e organizzative che preservino la riservatezza e l’integrità dei dati richiesti e la sicurezza dei trasferimenti dei dati, in particolare dei dati personali, e tutelino i diritti e le libertà degli interessati;

cancella i dati non appena non sono più necessari per la finalità indicata e informa il titolare dei dati e le persone o organizzazioni che hanno ricevuto i dati a norma dell’articolo 21, paragrafo 1, senza indebito ritardo dell’avvenuta cancellazione, a meno che l’archiviazione dei dati sia richiesta in conformità del diritto dell’Unione o nazionale in materia di accesso pubblico ai documenti nel contesto degli obblighi di trasparenza.

2. Un ente_pubblico, la Commissione, la Banca centrale europea, un organismo dell’Unione o un terzo che riceve dati a norma del presente capo:

non usa i dati o le informazioni sulla situazione economica, sulle risorse e sui metodi di produzione o di funzionamento del titolare dei dati per sviluppare o migliorare un prodotto_connesso o un servizio_correlato in concorrenza con il prodotto_connesso o il servizio_correlato del titolare dei dati;

b)	non condivide i dati con un altro terzo per uno degli scopi di cui alla lettera a).

3. La divulgazione di segreti commerciali a un ente_pubblico, alla Commissione, alla Banca centrale europea o a un organismo dell’Unione è obbligatoria solo nella misura strettamente necessaria per conseguire lo scopo di una richiesta a norma dell’articolo 15. In tali casi, il titolare dei dati o, qualora non si tratti della stessa persona, il detentore del segreto_commerciale individua i dati protetti quali segreti commerciali, compresi i pertinenti meta dati. L’ ente_pubblico, la Commissione, la Banca centrale europea o l’organismo dell’Unione adotta, prima della divulgazione di segreti commerciali, tutte le misure tecniche e organizzative necessarie e adeguate per preservare la riservatezza dei segreti commerciali, ivi compreso, se del caso, l’uso di clausole contrattuali tipo, norme tecniche e l’applicazione di codici di condotta.

4. Un ente_pubblico, la Commissione la Banca centrale europea o un organismo dell’Unione è responsabile della sicurezza dei dati che riceve.

Articolo 21

Condivisione dei dati ottenuti nel contesto di necessità eccezionali con organismi di ricerca o istituti statistici

1. Un ente_pubblico, la Commissione, la Banca centrale europea o un organismo dell’Unione ha il diritto di condividere i dati ricevuti a norma del presente capo:

a)	con persone o organizzazioni al fine di svolgere ricerche o analisi scientifiche compatibili con la finalità per la quale i dati sono stati richiesti; o

b)	con istituti nazionali di statistica ed Eurostat per la produzione di statistiche ufficiali.

2. Le persone o le organizzazioni che ricevono i dati a norma del paragrafo 1 agiscono senza fini di lucro o nell’ambito di una missione di interesse pubblico riconosciuta dal diritto dell’Unione o nazionale. Tali organizzazioni non comprendono le organizzazioni su cui imprese commerciali esercitano un’influenza significativa che è probabile possa comportare un accesso preferenziale ai risultati della ricerca.

3. Le persone o le organizzazioni che ricevono i dati a norma del paragrafo 1 del presente articolo rispettano gli stessi obblighi applicabili agli enti pubblici, alla Commissione, alla Banca centrale europea o agli organismi_dell’Unione, a norma dell’articolo 17, paragrafo 3, e dell’articolo 19.

4. Nonostante l’articolo 19, paragrafo 1, lettera c), le persone o le organizzazioni che ricevono i dati a norma del paragrafo 1 del presente articolo possono conservare i dati ricevuti per la finalità per la quale sono stati richiesti per un periodo massimo di sei mesi dalla loro cancellazione da parte degli enti pubblici, della Commissione, della Banca centrale europea e degli organismi_dell’Unione.

5. Se intende trasmettere o mettere a disposizione dati a norma del paragrafo 1 del presente articolo, un ente_pubblico, la Commissione, la Banca centrale europea o un organismo dell’Unione informa in merito, senza indebito ritardo, il titolare dei dati che li ha trasmessi, indicando l’identità e i dati di contatto dell’organizzazione o della persona che riceve i dati, le finalità della trasmissione o della messa a disposizione dei dati, il periodo per il quale i dati devono essere utilizzati e le misure tecniche e organizzative di protezione adottate, compresi i casi in cui si tratta di dati personali o segreti commerciali. Se è in disaccordo con la trasmissione o la messa a disposizione dei dati, il titolare dei dati può presentare un reclamo all’autorità competente, designata ai sensi dell’articolo 37, dello Stato membro in cui è stabilito.

Articolo 22

Assistenza reciproca e cooperazione transfrontaliera

1. Gli enti pubblici, la Commissione, la Banca centrale europea e gli organismi_dell’Unione cooperano e si assistono reciprocamente ai fini dell’attuazione coerente del presente capo.

2. Tutti i dati scambiati nell’ambito dell’assistenza richiesta e fornita a norma del paragrafo 1 non sono utilizzati in maniera incompatibile con la finalità per la quale sono stati richiesti.

3. Se intende presentare una richiesta di dati a un titolare dei dati stabilito in un altro Stato membro, l’ ente_pubblico lo notifica preventivamente all’autorità competente designata ai sensi dell’articolo 37 in tale Stato membro. Tale obbligo si applica anche alle richieste presentate dalla Commissione, dalla Banca centrale europea e dagli organismi_dell’Unione. La richiesta è esaminata dall’autorità competente dello Stato membro in cui il titolare dei dati è stabilito.

4. Dopo aver esaminato la richiesta alla luce dei requisiti di cui all’articolo 17, la pertinente autorità competente intraprende senza indebito ritardo una delle azioni seguenti:

trasmette la richiesta al titolare dei dati e, se del caso, informa l’ ente_pubblico richiedente, la Commissione, la Banca centrale europea o l’organismo dell’Unione dell’eventuale necessità di cooperare con gli enti pubblici dello Stato membro in cui è stabilito il titolare dei dati al fine di ridurre l’onere amministrativo del titolare dei dati relativo al soddisfacimento della richiesta.;

b)	respinge la richiesta per motivi debitamente giustificati, conformemente al presente capo;

L’ ente_pubblico richiedente, la Commissione, la Banca centrale europea e l’organismo dell’Unione tengono conto del parere e dei motivi della pertinente autorità competente, ai sensi del primo comma, prima di intraprendere qualsiasi ulteriore azione, come ripresentare la richiesta, se del caso.

CAPO VI

PASSAGGIO TRA SERVIZI DI TRATTAMENTO DEI DATI

Articolo 23

Eliminare gli ostacoli all’effettivo passaggio

I fornitori di servizi di trattamento dei dati adottano le misure di cui agli articoli 25, 26, 27, 29 e 30 per consentire ai clienti di passare a un servizio di trattamento dei dati, che copre lo stesso_tipo_di_servizio ed è fornito da un diverso fornitore di servizi di trattamento dei dati, o a un’ infrastruttura_TIC_locale, o, se del caso, di utilizzare più fornitori di servizi di trattamento dei dati contemporaneamente. I fornitori di servizi di trattamento dei dati non impongono ed eliminano in particolare gli ostacoli pre-commerciali, commerciali, tecnici, contrattuali e organizzativi che impediscono ai clienti di:

a)	risolvere, dopo il termine massimo di preavviso e il completamento positivo del processo di passaggio, conformemente all’articolo 25, il contratto del servizio di trattamento dei dati;

b)	concludere nuovi contratti con un altro fornitore di servizi di trattamento dei dati che coprono lo stesso_tipo_di_servizio;

c)	trasferire i dati esportabili del cliente e risorse_digitali a un diverso fornitore di servizi di trattamento dei dati o a un’ infrastruttura_TIC_locale, anche dopo aver beneficiato di un’offerta gratuita;

d)	conformemente all’articolo 24, conseguire l’ equivalenza_funzionale nell’utilizzo del nuovo servizio di trattamento dei dati nell’ambiente informatico di un altro fornitore di servizi di trattamento dei dati che copre il servizio equivalente ;

e)	disaggregare, ove tecnicamente fattibile, i servizi di trattamento dei dati di cui all’articolo 30, paragrafo 1, da altri servizi di trattamento dei dati forniti dal fornitore di servizi di trattamento dei dati.

Articolo 28

Obblighi contrattuali di trasparenza in materia di accesso e trasferimento internazionali

1. I fornitori di servizi di trattamento dei dati mettono a disposizione sui loro siti web e mantengono aggiornate le seguenti informazioni:

a)	la giurisdizione cui è soggetta l’infrastruttura TIC utilizzata per il trattamento dei dati dei loro servizi individuali;

una descrizione generale delle misure tecniche, organizzative e contrattuali adottate dal fornitore di servizi di trattamento dei dati al fine di impedire l’accesso governativo internazionale ai dati non personali detenuti nell’Unione o il loro trasferimento nei casi in cui tale accesso o trasferimento creerebbe un conflitto con il diritto dell’Unione o con il diritto nazionale dello Stato membro interessato.

2. I siti web di cui al paragrafo 1 sono elencati nei contratti per tutti i servizi di trattamento dei dati offerti dai fornitori di tali servizi.

Articolo 33

Requisiti essenziali in materia di interoperabilità dei dati, dei meccanismi e servizi di condivisione dei dati nonché degli spazi comuni europei di dati

1. Per facilitare l’ interoperabilità dei dati , dei meccanismi e servizi di condivisione dei dati nonché degli spazi comuni europei di dati, che costituiscono quadri interoperabili per scopi specifici, settoriali o intersettoriali di norme e prassi comuni per condividere o trattare congiuntamente i dati, anche per lo sviluppo di nuovi prodotti e servizi, della ricerca scientifica o di iniziative della società civile, i partecipanti agli spazi di dati che offrono dati o servizi di dati ad altri partecipanti rispettano i requisiti essenziali seguenti:

il contenuto degli insiemi di dati, le restrizioni all’uso, le licenze, la metodologia di raccolta dei dati e la qualità e l’incertezza dei dati sono descritti, se del caso in un formato leggibile da dispositivo automatico, in modo sufficiente a consentire al destinatario di trovare i dati, accedervi e utilizzarli;

b)	le strutture e i formati dei dati, i vocabolari, gli schemi di classificazione, le tassonomie e gli elenchi dei codici, se disponibili, sono descritti in modo accessibile al pubblico e coerente;

i mezzi tecnici per accedere ai dati, quali le interfacce di programmazione delle applicazioni (API), e le relative condizioni d’uso e di qualità del servizio sono descritti in modo sufficiente a consentire l’accesso automatico ai dati e la relativa trasmissione automatica tra le parti, anche in modo continuo, in download in blocco o in tempo reale, in un formato leggibile da dispositivo automatico, qualora tecnicamente fattibile e non di ostacolo al buon funzionamento del prodotto_connesso;

d)	se del caso, sono forniti i mezzi per consentire l’ interoperabilità degli strumenti concepiti per automatizzare l’esecuzione degli accordi di condivisione dei dati, ad esempio i contratti intelligenti.

Tali requisiti possono avere carattere generico o riguardare settori specifici, tenendo pienamente conto dell’interrelazione con i requisiti derivanti dal diritto dell’Unione o nazionale.

2. Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 45 per integrare il presente regolamento specificando ulteriormente i requisiti essenziali di cui al paragrafo 1 del presente articolo, in relazione ai requisiti che, per loro natura, non sono in grado di produrre l’effetto atteso a meno che non siano ulteriormente specificati in atti giuridici vincolanti dell’Unione e al fine di riflettere adeguatamente gli sviluppi tecnologici e di mercato.

La Commissione, quando adotta atti delegati, tiene conto dei pareri dell’EDIB conformemente all’articolo 42, lettera c), punto iii).

3. Si presume che i partecipanti agli spazi di dati che offrono dati o servizi di dati ad altri partecipanti agli spazi di dati che soddisfano le norme armonizzate o parti di esse, i cui riferimenti sono pubblicati nella Gazzetta ufficiale dell’Unione europea, siano conformi ai requisiti essenziali di cui al paragrafo 1 nella misura in cui tali requisiti sono contemplati da tali norme armonizzate o parti di esse.

4. Conformemente all’articolo 10 del regolamento (UE) n. 1025/2012, la Commissione chiede a una o più organizzazioni europee di normazione di elaborare norme armonizzate che soddisfino i requisiti essenziali di cui al paragrafo 1 del presente articolo.

5. La Commissione può adottare, mediante atti di esecuzione, specifiche_comuni che contemplino uno o tutti i requisiti essenziali di cui al paragrafo 1 laddove siano state soddisfatte le condizioni seguenti:

la Commissione ha chiesto, a norma dell’articolo 10, paragrafo 1, del regolamento (UE) n. 1025/2012, a una o più organizzazioni europee di normazione di elaborare una norma_armonizzata che soddisfi i requisiti essenziali di cui al paragrafo 1 del presente articolo e:

i)	la richiesta non è stata accettata;

ii)	le norme armonizzate che rispondono a tale richiesta non sono ultimati entro una determinata scadenza a norma dell’articolo 10, paragrafo 1, del regolamento (UE) n. 1025/2012; oppure

iii)	le norme armonizzate non sono conformi alla richiesta; e

nessun riferimento a norme armonizzate che contemplino i requisiti essenziali pertinenti di cui al paragrafo 1 del presente articolo è pubblicato nella Gazzetta ufficiale dell’Unione europea conformemente al regolamento (UE) n. 1025/2012 e non si prevede la pubblicazione di tale riferimento entro un termine ragionevole.

Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 46, paragrafo 2.

6. Prima di preparare un progetto di atto di esecuzione di cui al paragrafo 5 del presente articolo, la Commissione comunica al comitato di cui all’articolo 22 del regolamento (UE) n. 1025/2012 che ritiene soddisfatte le condizioni di cui al paragrafo 5 del presente articolo.

7. Nel preparare il progetto di atto di esecuzione di cui al paragrafo 5, la Commissione tiene conto dei pareri del EDIB e di altri organismi o gruppi di esperti pertinenti e consulta debitamente tutti i pertinenti portatori di interessi.

8. Si presume che i partecipanti agli spazi di dati che offrono dati o servizi di dati ad altri partecipanti agli spazi di dati che soddisfano le specifiche_comuni stabilite da atti di esecuzione di cui al paragrafo 5 o parti di essi siano conformi ai requisiti essenziali di cui al paragrafo 1 nella misura in cui tali requisiti sono contemplati da tali specifiche_comuni o parti di esse.

9. Qualora una norma_armonizzata sia adottata da un’organizzazione europea di normazione e proposta alla Commissione ai fini della pubblicazione del suo riferimento nella Gazzetta ufficiale dell’Unione europea, la Commissione valuta la norma_armonizzata conformemente al regolamento (UE) n. 1025/2012. Qualora il riferimento di una norma_armonizzata sia pubblicato nella Gazzetta ufficiale dell’Unione europea, la Commissione abroga gli atti di esecuzione di cui al paragrafo 5 del presente articolo o parti di essi, che riguardano gli stessi requisiti essenziali contemplati da tali norme armonizzate.

10. Qualora uno Stato membro ritenga che una specifica comune non soddisfi completamene i requisiti essenziali di cui al paragrafo 1, esso ne informa la Commissione presentando una spiegazione dettagliata. La Commissione valuta tale spiegazione dettagliata e, se del caso, può modificare l’atto di esecuzione che stabilisce la specifica comune in questione.

11. La Commissione può adottare orientamenti, tenendo conto della proposta dell’EDIB conformemente all’articolo 30, lettera h), del regolamento (UE) 2022/868, che stabiliscono quadri interoperabili di norme e prassi comuni per il funzionamento degli spazi comuni europei di dati.

Articolo 34

Interoperabilità ai fini di un uso in parallelo dei servizi di trattamento dei dati

1. I requisiti di cui agli articoli 23 e 24, all’articolo 25, paragrafo 2, lettera a), punti ii) e iv), all’articolo 25, paragrafo 2, lettere e) ed f), e all’articolo 30, paragrafi 2, 3, 4 e 5, si applicano mutatis mutandis anche ai fornitori di servizi di trattamento dei dati per facilitare l’ interoperabilità ai fini di un uso in parallelo dei servizi di trattamento dei dati.

2. Se un servizio di trattamento dei dati viene utilizzato parallelamente a un altro servizio di trattamento dei dati, i fornitori di servizi di trattamento dei dati possono imporre tariffe di uscita dei dati, ma solo al fine di ribaltare i costi di uscita sostenuti, senza superarli.

Articolo 36

Requisiti essenziali relativi ai contratti intelligenti per l’esecuzione degli accordi di condivisione dei dati

1. Il venditore di applicazioni che utilizzano contratti intelligenti o, in sua assenza, la persona la cui attività commerciale, imprenditoriale o professionale comporti l’implementazione di contratti intelligenti per altri nel contesto dell’esecuzione di un accordo, o parte di esso, di messa a disposizione dei dati, assicura che tali contratti intelligenti rispettino i requisiti essenziali seguenti:

a)	robustezza e controllo dell’accesso, garantire che il contratto_intelligente sia stato progettato in modo da offrire meccanismi di controllo dell’accesso e un grado di robustezza molto elevato per evitare errori funzionali e resistere alla manipolazione di terzi;

cessazione e interruzione sicure, per garantire che esista un meccanismo per cessare l’esecuzione continua delle transazioni e che contratto_intelligente comprenda funzioni interne che possano reimpostarlo o trasmettergli l’istruzione di fermare o interrompere il proprio funzionamento, in particolare per evitare esecuzioni accidentali future;

archiviazione e continuità dei dati, per garantire, nel caso in cui si debba procedere alla risoluzione o alla disattivazione di un contratto_intelligente, che vi sia la possibilità di archiviare i dati relativi alle transazioni nonché la logica e il codice del contratto_intelligente al fine di tenere traccia delle operazioni effettuate sui dati in passato (verificabilità);

d)	controllo dell’accesso, per garantire che un contratto_intelligente sia protetto mediante meccanismi rigorosi di controllo dell’accesso sul piano della governance e del contratto_intelligente; e

e)	coerenza, per garantire che si intende la coerenza con le clausole dell’accordo di condivisione dei dati che il contratto_intelligente esegue.

2. Il venditore di contratti intelligenti o, in sua assenza, la persona la cui attività commerciale, imprenditoriale o professionale comporti l’implementazione di contratti intelligenti per altri nel contesto dell’esecuzione di un accordo, o parte di esso, di messa a disposizione dei dati effettua una valutazione della conformità al fine di soddisfare i requisiti essenziali di cui al paragrafo 1 e, se tali requisiti sono soddisfatti, rilascia una dichiarazione di conformità UE.

3. Con la dichiarazione di conformità UE il venditore di applicazioni che utilizzano contratti intelligenti o, in sua assenza, la persona la cui attività commerciale, imprenditoriale o professionale comporti l’implementazione di contratti intelligenti per altri nel contesto dell’implementazione di un accordo, o parte di esso, di messa a disposizione dei dati, è responsabile del rispetto dei requisiti essenziali di cui al paragrafo 1.

4. Si presume che un contratto_intelligente che soddisfa le norme armonizzate o le pertinenti parti di tali norme, i cui riferimenti sono pubblicati nella Gazzetta ufficiale dell’Unione europea, sia conforme ai requisiti essenziali di cui al paragrafo 1 del presente articolo nella misura in cui tali requisiti sono contemplati da tali norme armonizzate o parti di esse.

5. Ai sensi dell’articolo 10 del regolamento (UE) n. 1025/2012, la Commissione chiede a una o più organizzazioni europee di normazione di elaborare norme armonizzate che soddisfino i requisiti essenziali di cui al paragrafo 1 del presente articolo.

6. La Commissione può adottare, mediante atti di esecuzione, specifiche_comuni che contemplino una o tutti i requisiti essenziali di cui al paragrafo 1 laddove siano state soddisfatte le condizioni seguenti:

i)	la richiesta non è stata accettata,

ii)	le norme armonizzate che rispondono a tale richiesta non sono ultimati entro una determinata scadenza a norma dell’articolo 10, paragrafo 1, del regolamento (UE) n. 1025/2012, oppure

iii)	le norme armonizzate non sono conformi alla richiesta; e

Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 46, paragrafo 2.

7. Prima di preparare un progetto di atto di esecuzione di cui al paragrafo 6 del presente articolo, la Commissione comunica al comitato di cui all’articolo 22 del regolamento (UE) n. 1025/2012 che ritiene soddisfatte le condizioni di cui al paragrafo 6 del presente articolo.

8. Nel preparare il progetto di atto di esecuzione di cui al paragrafo 6, la Commissione tiene conto dei pareri del EDIB e di altri organismi o gruppi di esperti pertinenti e consulta debitamente tutti i pertinenti portatori di interessi.

9. Si presume che il venditore di contratti intelligenti o, in sua assenza, la persona la cui attività commerciale, imprenditoriale o professionale comporti l’implementazione di contratti intelligenti per altri nel contesto dell’implementazione di un accordo, o parte di esso, di messa a disposizione dei dati che soddisfano le specifiche_comuni stabilite da atti di esecuzione di cui al paragrafo 5 o parti di essi sia conforme ai requisiti essenziali di cui al paragrafo 1 nella misura in cui tali requisiti sono contemplati da tali specifiche_comuni o parti di esse.

10. Qualora una norma_armonizzata sia adottata da un’organizzazione europea di normazione e proposta alla Commissione al fine di pubblicare il suo riferimento nella Gazzetta ufficiale dell’Unione europea, la Commissione valuta la norma_armonizzata conformemente al regolamento (UE) n. 1025/2012. Qualora il riferimento di una norma_armonizzata sia pubblicato nella Gazzetta ufficiale dell’Unione europea, la Commissione abroga gli atti di esecuzione di cui al paragrafo 6 del presente articolo, o parti di essi, che riguardano gli stessi requisiti essenziali contemplati da tali norme armonizzate.

11. Qualora uno Stato membro ritenga che una specifica comune non soddisfi completamene i requisiti essenziali di cui al paragrafo 1, esso ne informa la Commissione presentando una spiegazione dettagliata. La Commissione valuta tale spiegazione dettagliata e, se del caso, modifica l’atto di esecuzione che stabilisce la specifica comune in questione.

CAPO IX

ATTUAZIONE ED ESECUZIONE

Articolo 37

Autorità competenti e coordinatori dei dati

1. Ciascuno Stato membro designa una o più autorità competenti incaricate dell’applicazione e dell’esecuzione del presente regolamento (autorità competenti). Gli Stati membri possono istituire una o più nuove autorità o fare affidamento sulle autorità esistenti.

2. Qualora uno Stato membro designi più di un’autorità competente, tra di esse designa un coordinatore dei dati per facilitare la cooperazione tra le autorità competenti e per assistere le entità che rientrano nell’ambito di applicazione del presente regolamento su tutte le questioni relative alla sua applicazione ed esecuzione. Le autorità competenti, nell’esercizio dei compiti e dei poteri ad esse assegnati a norma del paragrafo 5, cooperano tra loro.

3. Le autorità di controllo incaricate di sorvegliare l’applicazione del regolamento (UE) 2016/679 sono incaricate di sorvegliare l’applicazione del presente regolamento per quanto riguarda la protezione dei dati personali. I capi VI e VII del regolamento (UE) 2016/679 si applicano mutatis mutandis.

Il Garante europeo della protezione dei dati è incaricato di monitorare l’applicazione del presente regolamento nella misura in cui riguarda la Commissione, la Banca centrale europea o gli organismi_dell’Unione. Ove pertinente, l’articolo 62 del regolamento (UE) 2018/1725 si applica mutatis mutandis.

I compiti e i poteri delle autorità di controllo di cui al presente paragrafo sono esercitati in relazione al trattamento dei dati personali.

4. Fatto salvo il paragrafo 1 del presente articolo:

a)	per questioni specifiche concernenti l’accesso ai dati settoriali e il loro utilizzo relative all’attuazione del presente regolamento è rispettata la competenza delle autorità settoriali;

b)	l’autorità competente incaricata dell’applicazione e dell’esecuzione degli articoli da 23 a 31 e degli articoli 34 e 35 ha esperienza nel campo dei dati e dei servizi di comunicazioni elettroniche.

5. Gli Stati membri provvedono affinché i compiti e poteri delle autorità competenti siano chiaramente definiti e comprendano:

a)	la promozione dell’ alfabetizzazione_in_materia_di_ dati e la sensibilizzazione degli utenti e delle entità che rientrano nell’ambito di applicazione del presente regolamento in merito ai diritti e agli obblighi a norma del presente regolamento;

il trattamento dei reclami derivanti da presunte violazioni del presente regolamento, anche in relazione a segreti commerciali, lo svolgimento di indagini, nella misura appropriata, sull’oggetto dei reclami e la periodica trasmissione di informazioni ai reclamanti, conformemente al diritto nazionale se del caso, in merito allo stato e all’esito delle indagini entro un termine ragionevole, in particolare ove siano necessari ulteriori indagini o il coordinamento con un’altra autorità competente;

c)	lo svolgimento di indagini su questioni relative all’applicazione del presente regolamento, anche sulla base di informazioni ricevute da un’altra autorità competente o da un’altra autorità pubblica;

d)	l’inflizione di sanzioni pecuniarie effettive, proporzionate e dissuasive che possono includere sanzioni periodiche e sanzioni con effetto retroattivo, o l’avvio di procedimenti giudiziari per l’inflizione di ammende;

e)	il monitoraggio degli sviluppi tecnologici e dei pertinenti sviluppi commerciali rilevanti per la messa a disposizione e l’utilizzo dei dati;

la cooperazione con le autorità competenti di altri Stati membri e, ove opportuno, con la Commissione o l’EDIB per garantire l’applicazione coerente ed efficiente del presente regolamento, compreso lo scambio di tutte le informazioni pertinenti per via elettronica, senza indebito ritardo, anche per quanto riguarda il paragrafo 10 del presente articolo;

la cooperazione con le autorità competenti pertinenti incaricate dell’attuazione di altri atti giuridici dell’Unione o nazionali, comprese le autorità competenti nel campo dei dati e dei servizi di comunicazioni elettroniche, l’autorità di controllo incaricata di sorvegliare l’applicazione del regolamento (UE) 2016/679 o le autorità settoriali, per garantire che il presente regolamento sia applicato coerentemente con il diritto dell’Unione e nazionale;

h)	la cooperazione con le autorità competenti pertinenti per garantire che gli articoli da 23 a 31 e gli articoli 34 e 35 siano applicati coerentemente con altro diritto dell’Unione e misure di autoregolamentazione applicabili ai fornitori di servizi di trattamento dei dati;

i)	la garanzia che le tariffe per il passaggio siano abolite conformemente all’articolo 29;

j)	l’esame delle richieste di dati presentate a norma del capo V.

Laddove designato, il coordinatore dei dati facilita la cooperazione di cui alle lettere f), g) e h), del primo comma e assiste le autorità competenti su loro richiesta.

6. Il coordinatore dei dati, laddove tale autorità competenti sia stata designata:

a)	funge da punto di contatto unico per tutte le questioni relative all’applicazione del presente regolamento;

b)	garantisce che le richieste di messa a disposizione dei dati presentate da enti pubblici in caso di eccezionale necessità a norma del capo V siano pubblicamente disponibili online e promuove accordi di condivisione dei dati volontari tra enti pubblici e titolari dei dati;

c)	informa la Commissione, su base annua, dei rifiuti notificati a norma dell’articolo 4, paragrafi 2 e 8, e dell’articolo 5, paragrafo 11.

7. Gli Stati membri notificano alla Commissione i nomi delle autorità competenti designate e i compiti e poteri e, ove opportuno, il nome del coordinatore dei dati. La Commissione tiene un registro pubblico di tali autorità.

8. Nello svolgimento dei loro compiti e nell’esercizio dei loro poteri conformemente al presente regolamento, le autorità competenti rimangono imparziali, non subiscono alcuna influenza esterna, diretta o indiretta, e non sollecitano né accettano istruzioni, per singoli casi, da altre autorità pubbliche o da privati.

9. Gli Stati membri provvedono affinché le autorità competenti dispongano delle risorse umane e tecniche sufficienti e delle opportune competenze per svolgere efficacemente i propri compiti conformemente al presente regolamento.

10. Le entità che rientrano nell’ambito di applicazione del presente regolamento sono soggette alla competenza dello Stato membro nel quale sono stabilite. Laddove l’entità sia stabilita in più di uno Stato membro, è considerata soggetta alla competenza dello Stato membro in cui ha lo stabilimento principale, ossia dove ha la sua amministrazione centrale o la sua sede sociale da cui esercita le principali funzioni finanziarie e il controllo operativo.

11. Qualsiasi entità rientrante nell’ambito di applicazione del presente regolamento che renda disponibili prodotti connessi o offra servizi correlati nell’Unione e che non sia stabilita nell’Unione designa un rappresentante legale in uno degli Stati membri.

12. Al fine di garantire la conformità al presente regolamento, il rappresentante legale riceve da un’entità rientrante nell’ambito di applicazione del presente regolamento che rende disponibili prodotti connessi o offre servizi correlati nell’Unione il mandato di essere interpellato oltre all’entità stessa o al suo posto dalle autorità competenti per quanto riguarda tutte le questioni relative a tale entità. Il rappresentante legale collabora con le autorità competenti e, su richiesta, dimostra loro in modo esauriente le misure adottate e le disposizioni messe in atto dall’entità rientrante nell’ambito di applicazione del presente regolamento che rende disponibili prodotti connessi o offre servizi correlati nell’Unione per garantire la conformità al presente regolamento.

13. Un’entità rientrante nell’ambito di applicazione del presente regolamento che rende disponibili prodotti connessi o offre servizi correlati nell’Unione è considerata soggetta alla giurisdizione dello Stato membro in cui è situato il suo rappresentante legale. La designazione di un rappresentante legale a cura di tale entità fa salve la responsabilità e le eventuali azioni legali che potrebbero essere promosse contro di essa. Fino a quando l’entità non avrà designato un rappresentante legale a norma del presente articolo, essa sarà soggetta alla competenza di tutti gli Stati membri, se del caso, al fine di garantire l’applicazione ed esecuzione del presente regolamento. Qualsiasi autorità competente può esercitare la propria competenza, anche infliggendo sanzioni effettive, proporzionate e dissuasive, a condizione che l’entità non sia soggetta a procedimenti esecutivi a norma del presente regolamento in relazione agli stessi fatti da parte di un’altra autorità competente.

14. Le autorità competenti hanno il potere di chiedere agli utenti, ai titolari dei dati o ai destinatari dei dati, ovvero ai loro rappresentanti legali, soggetti alla competenza del loro Stato membro tutte le informazioni necessarie a verificare la conformità al presente regolamento. Le richieste di informazioni sono motivate e proporzionate rispetto all’assolvimento del compito di base.

15. Se un’autorità competente di uno Stato membro chiede misure di assistenza o di esecuzione a un’autorità competente di un altro Stato membro, essa presenta una richiesta motivata. Al ricevimento di tale richiesta, l’autorità competente fornisce una risposta in cui si precisano le azioni che sono state adottate o che si prevede di adottare, senza indebito ritardo.

16. Le autorità competenti rispettano il principio di riservatezza e del segreto professionale e commerciale e tutelano i dati personali ai sensi del diritto dell’Unione o nazionale. Tutte le informazioni scambiate nel quadro di una richiesta di assistenza e fornite a norma del presente articolo sono utilizzate solo in relazione alla questione per cui sono state richieste.

Articolo 44

Altri atti giuridici dell’Unione che disciplinano i diritti e gli obblighi in materia di accesso ai dati e relativo utilizzo

1. Restano impregiudicati gli obblighi specifici per la messa a disposizione dei dati tra imprese, tra imprese e consumatori e, in via eccezionale, tra imprese e organismi pubblici contenuti in atti giuridici dell’Unione entrati in vigore il o anteriormente all’11 gennaio 2024 e in atti delegati o di esecuzione basati su tali atti giuridici.

2. Il presente regolamento non pregiudica la normativa dell’Unione che, alla luce delle esigenze di un settore, di uno spazio comune europeo di dati o di un ambito di interesse comune, specifica ulteriori requisiti, in particolare per quanto riguarda:

a)	gli aspetti tecnici dell’accesso ai dati;

b)	le limitazioni ai diritti dei titolari dei dati di accedere a determinati dati forniti dagli utenti o di utilizzarli;

c)	gli aspetti che vanno al di là dell’accesso ai dati e del relativo utilizzo.

3. Il presente regolamento, ad eccezione del capo V, non pregiudica il diritto dell’Unione e nazionale che dispongono l’accesso ai dati e ne autorizzano l’uso a fini di ricerca scientifica.

whereas

keyboard_tab Data Act 2023/2854 IT

Data Act 2023/2854 IT