Data Act 2023/2854 IT

Diritti e obblighi degli utenti e dei titolari dei dati per l’accesso, l’utilizzo e la messa a disposizione dei dati del prodotto e del servizio_correlato

1. Qualora l’ utente non possa accedere direttamente ai dati a partire dal prodotto_connesso o dal servizio_correlato, i titolari dei dati mettono prontamente a disposizione dell’ utente i dati, nonché i pertinenti meta dati necessari per interpretare e utilizzare tali dati senza indebito ritardo, con la stessa qualità di cui dispone il titolare dei dati, in modo facile, sicuro, gratuitamente, in un formato completo, strutturato, di uso comune e leggibile da dispositivo automatico e, ove pertinente e tecnicamente possibile, modo continuo e in tempo reale. Ciò avviene sulla base di una semplice richiesta mediante mezzi elettronici, ove tecnicamente fattibile.

2. gli utenti e i titolari dei dati possono limitare o vietare contrattualmente l’accesso ai dati, il loro uso o la loro ulteriore condivisione nel caso in cui tale trattamento possa compromettere i requisiti di sicurezza del prodotto_connesso, come previsto dal diritto dell’Unione o nazionale, e comportare gravi effetti negativi per la salute, la sicurezza o la protezione delle persone fisiche. Le autorità settoriali possono fornire agli utenti e ai titolari dei dati competenze tecniche in tale contesto. Qualora rifiuti di condividere i dati ai sensi del presente articolo, il titolare dei dati notifica l’autorità competente designata ai sensi dell’articolo 37.

3. Fatto salvo il diritto dell’ utente di presentare ricorso in qualsiasi momento dinanzi a un organo giurisdizionale di uno Stato membro, in caso di eventuale controversia con il titolare dei dati relativamente a limitazioni o divieti contrattuali di cui al paragrafo 2 l’ utente può:

a)	presentare, conformemente all’articolo 37, paragrafo 5, lettera b), un reclamo all’autorità competente; o

b)	convenire con il titolare dei dati di deferire la questione a un organismo di risoluzione delle controversie in conformità dell’articolo 10, paragrafo 1.

4. I titolari dei dati non rendono indebitamente difficile l’esercizio delle scelte o dei diritti degli utenti a norma del presente articolo, ad esempio offrendo loro scelte in modo non neutrale o compromettendo o pregiudicando l’autonomia, il processo decisionale o le scelte dell’ utente attraverso la struttura, la progettazione, le funzioni o il funzionamento di un’interfaccia utente digitale o di una sua parte.

5. Al fine di verificare se una persona fisica o giuridica si possa considerare un utente ai fini del paragrafo 1, un titolare dei dati non impone a tale persona di fornire informazioni al di là di quanto necessario . I titolari dei dati non conservano informazioni, in particolare dati di registro, sull’accesso dell’ utente ai dati richiesti al di là di quanto necessario per la corretta esecuzione della richiesta di accesso dell’ utente e per la sicurezza e la manutenzione dell’infrastruttura di dati.

6. I segreti commerciali sono conservati e comunicati solo a condizione che prima della comunicazione il titolare dei dati e l’ utente adottino tutte le misure necessarie per tutelarne la riservatezza, in particolare rispetto a terzi. Il titolare dei dati o, qualora non si tratti della stessa persona, il detentore del segreto_commerciale individua i dati protetti quali segreti commerciali, anche nei pertinenti meta dati, e concorda con l’ utente le misure tecniche e organizzative proporzionate necessarie a preservare la riservatezza dei dati condivisi, in particolare rispetto a terzi, quali clausole contrattuali tipo, accordi di riservatezza, protocolli di accesso rigorosi, norme tecniche e l’applicazione di codici di condotta.

7. In assenza di accordo sulle misure necessarie di cui al paragrafo 6 o qualora l’ utente non attui le misure concordate a norma del paragrafo 6 o pregiudichi la riservatezza dei segreti commerciali, il titolare dei dati può bloccare o, se del caso, sospendere la condivisione dei dati identificati come segreti commerciali. La decisione del titolare dei dati è debitamente motivata e fornita all’ utente per iscritto e senza indebito ritardo. In tali casi il titolare dei dati notifica all’autorità competente designata a norma dell’articolo 37 di aver bloccato o sospeso la condivisione dei dati e indica quali misure non sono state concordate o attuate e, se del caso, di quali segreti commerciali è stata pregiudicata la riservatezza.

8. In circostanze eccezionali, qualora il titolare dei dati che è detentore di un segreto_commerciale possa dimostrare che subirà molto probabilmente gravi danni economici a causa della divulgazione di segreti commerciali, malgrado le misure tecniche e organizzative adottate dall’ utente a norma del paragrafo 6 del presente articolo, detto titolare dei dati può rifiutare di volta in volta una richiesta di accesso ai dati specifici in questione. Tale dimostrazione è debitamente motivata sulla base di elementi oggettivi, in particolare l’applicabilità della protezione dei segreti commerciali in paesi terzi, la natura e il livello di riservatezza dei dati richiesti nonché l’unicità e la novità del prodotto_connesso, ed è fornita per iscritto all’ utente e senza indebito ritardo. Qualora rifiutasse di condividere i dati ai sensi del presente paragrafo, il titolare dei dati notifica l’autorità competente designata a norma dell’articolo 37.

9. Fatto salvo il diritto di un utente di presentare ricorso in qualsiasi momento dinanzi a un organo giurisdizionale di uno Stato membro, un utente che intenda contestare la decisione di un titolare dei dati di rifiutare, o di bloccare o sospendere la condivisione di dati a norma dei paragrafi 7 e 8 può:

a)	presentare, conformemente all’articolo 37, paragrafo 5, lettera b), un reclamo all’autorità competente che decide senza indebito ritardo se e a quali condizioni debba iniziare o riprendere la condivisione dei dati; o

b)	convenire con il titolare dei dati di deferire la questione a un organismo di risoluzione delle controversie in conformità dell’articolo 10, paragrafo 1.

10. L’ utente non utilizza i dati ottenuti in seguito a una richiesta di cui al paragrafo 1 per sviluppare un prodotto_connesso in concorrenza con il prodotto_connesso da cui provengono i dati, né li condivide con un terzo con tale intenzione e non utilizza tali dati per ottenere informazioni sulla situazione economica, sulle risorse e sui metodi di produzione del fabbricante o, se applicabile, del titolare dei dati.

11. L’ utente non utilizza mezzi coercitivi né abusa di lacune nell’infrastruttura tecnica del titolare dei dati destinata a proteggere i dati al fine di ottenere l’accesso agli stessi.

12. Se l’ utente non è l’ interessato i cui dati personali sono richiesti, i dati personali generati dall’uso di un prodotto_connesso o di un servizio_correlato sono messi a disposizione dell’ utente dal titolare dei dati solo se esiste una valida base giuridica del trattamento a norma dell’articolo 6 del regolamento (UE) 2016/679 e, ove pertinente, se sono soddisfatte le condizioni di cui all’articolo 9 di detto regolamento e all’articolo 5, paragrafo 3, della direttiva 2002/58/CE.

13. Un titolare dei dati utilizza eventuali dati non personali prontamente disponibili solo sulla base di un contratto stipulato con l’ utente. Un titolare dei dati non utilizza tali dati per ottenere informazioni sulla situazione economica, sulle risorse e sui metodi di produzione dell’ utente, o sull’utilizzo da parte di quest’ultimo in qualsiasi altro modo che potrebbe compromettere la sua posizione commerciale sui mercati in cui l’ utente è attivo.

14. I titolari dei dati non mettono a disposizione di terzi i dati non personali del prodotto a fini commerciali o non commerciali diversi dall’esecuzione del loro contratto con l’ utente. Se del caso, i titolari dei dati vincolano contrattualmente i terzi a non condividere ulteriormente i dati da essi ricevuti.

Articolo 7

Ambito di applicazione degli obblighi di condivisione dei dati da impresa a consumatore e da impresa a impresa

1. gli obblighi di cui al presente capo non si applicano ai dati generati dall’uso di prodotti connessi fabbricati o progettati da una micro impresa o da una piccola impresa o di servizi correlati forniti dalle medesime, a condizione che tali imprese non abbiano un’ impresa associata o un’ impresa collegata, a norma dell’articolo 3 dell’allegato della raccomandazione 2003/361/EC, che non è qualificata come micro impresa o piccola impresa, e qualora alla micro impresa e alla piccola impresa siano affidate in subappalto la fabbricazione o la progettazione di un prodotto o la fornitura di un servizio_correlato.

Lo stesso si applica ai dati generati dall’uso di prodotti connessi fabbricati, o di servizi correlati forniti, da un’ impresa qualificata come media impresa ai sensi dell’articolo 2 dell’allegato della raccomandazione 2003/361/EC da meno di un anno e ai prodotti connessi per un anno dopo la data in cui sono stati immessi sul mercato da una media impresa.

2. Qualsiasi clausola contrattuale che, a danno dell’ utente, escluda l’applicazione dei diritti dell’ utente a norma del presente capo, deroghi agli stessi o ne modifichi gli effetti non è vincolante per l’ utente.

CAPO III

OBBLIGHI PER I TITOLARI DEI DATI TENUTI A METTERE A DISPOSIZIONE I DATI A NORMA DEL DIRITTO DELL’UNIONE

Articolo 10

Risoluzione delle controversie

1. gli utenti, i titolari dei dati e i destinatari dei dati hanno accesso a un organismo di risoluzione delle controversie, certificati in conformità al paragrafo 5 del presente articolo, per comporre le controversie ai sensi dell’articolo 4, paragrafi 3 e 9, e dell’articolo 5, paragrafo 12, nonché le controversie relative all’adempimento, da parte del titolare dei dati, dell’obbligo di mettere i dati a disposizione del destinatario dei dati, nonché a condizioni eque, ragionevoli e non discriminatori e a modalità trasparenti di messa a disposizione dei dati a norma del presente capo e del capo IV.

2. gli organismi di risoluzione delle controversie rendono noti alle parti interessate le tariffe, o i meccanismi utilizzati per determinare tali tariffe, prima che le parti interessate richiedano una decisione.

3. In caso di controversie deferite a un organismo di risoluzione delle controversie di cui all’articolo 4, paragrafo 3, qualora l’organismo di risoluzione delle controverse risolva la controversia a favore dell’ utente o del destinatario dei dati, il titolare dei dati sostiene tutti i costi stabiliti dall’organismo di risoluzione delle controversie e rimborsa all’ utente o al destinatario dei dati tutte le altre spese ragionevoli da questi sostenute relativamente alla risoluzione della controversia. Qualora l’organismo di risoluzione delle controverse risolva la controversia a favore del titolare dei dati, l’ utente o il destinatario dei dati non è tenuto a rimborsare costi o altre spese che il titolare dei dati ha sostenuto o deve sostenere relativamente alla risoluzione della controversia, a meno che l’organismo di risoluzione delle controversie ritenga che l’ utente o il destinatario dei dati abbia agito manifestamente in malafede.

4. I clienti e i fornitori di servizi di trattamento dei dati hanno accesso a un organismo di risoluzione delle controversie, certificati in conformità del paragrafo 6 del presente articolo, per comporre le controversie relative a violazioni dei diritti dei clienti e degli obblighi dei fornitori di servizi di trattamento dei dati, in conformità degli articoli da 23 a 31.

5. Su richiesta dell’organismo di risoluzione delle controversie lo Stato membro in cui questi è stabilito certifica che l’organismo ha dimostrato di soddisfare tutte le condizioni seguenti:

a)	è imparziale e indipendente e adotterà le proprie decisioni conformemente a norme procedurali chiare, non discriminatorie ed eque;

b)	dispone delle competenze necessarie, in particolare in relazione a condizioni eque, ragionevoli e non discriminatori, compreso il compenso, e alla messa a disposizione dei dati in modo trasparente, che consentono all’organismo di determinare efficacemente tali condizioni;

c)	è facilmente accessibile attraverso le tecnologie di comunicazione elettronica;

d)	è in grado di adottare le proprie decisioni in modo rapido, efficiente ed efficace sotto il profilo dei costi in almeno una delle lingue ufficiali dell’Unione.

6. gli Stati membri notificano alla Commissione gli organismi di risoluzione delle controversie certificati in conformità del paragrafo 5. La Commissione pubblica un elenco di tali organismi su un sito web dedicato e lo mantiene aggiornato.

7. Un organismo di risoluzione delle controversie rifiuta di dare seguito a una richiesta di risoluzione di una controversia già presentata dinanzi a un altro organismo di risoluzione delle controversie o dinanzi a un organo giurisdizionale di uno Stato membro.

8. Un organismo di risoluzione delle controversie concede alle parti la possibilità, entro un termine ragionevole, di esprimere il loro punto di vista sulle questioni che le parti hanno sottoposto a tale organismo. In tale contesto, ciascuna delle parti in causa trasmette alle parti le comunicazioni relative alla controversia presentate dall’altra parte e le eventuali dichiarazioni di esperti. Alle parti è data la possibilità di presentare osservazioni in merito a tali comunicazioni e dichiarazioni.

9. Un organismo di risoluzione delle controversie adotta la sua decisione su una questione sottopostagli entro 90 giorni dal ricevimento di una richiesta ai sensi dei paragrafi 1 e 4. Tale decisione è adottata per iscritto o su un supporto durevole ed è suffragata da una motivazione.

10. gli organismi di risoluzione delle controversie redigono e rendono pubbliche le relazioni annuali di attività. Tali relazioni annuali contengono in particolare le informazioni generali seguenti:

a)	un’aggregazione dei risultati delle controversie;

b)	il tempo medio necessario per la risoluzione delle controversie;

c)	i motivi più comuni alla base delle controversie.

11. Al fine di agevolare lo scambio di informazioni e migliori prassi, un organismo pubblico di risoluzione delle controversie può decidere di includere raccomandazioni nella relazione di cui al paragrafo 10 su come evitare o risolvere problemi.

12. La decisione dell’organismo di risoluzione delle controversie è vincolante per le parti solo se le parti hanno esplicitamente acconsentito al suo carattere vincolante prima dell’avvio del procedimento di risoluzione delle controversie.

13. Il presente articolo non pregiudica il diritto delle parti a un ricorso effettivo dinanzi a un organo giurisdizionale di uno Stato membro.

Articolo 22

Assistenza reciproca e cooperazione transfrontaliera

1. gli enti pubblici, la Commissione, la Banca centrale europea e gli organismi_dell’Unione cooperano e si assistono reciprocamente ai fini dell’attuazione coerente del presente capo.

2. Tutti i dati scambiati nell’ambito dell’assistenza richiesta e fornita a norma del paragrafo 1 non sono utilizzati in maniera incompatibile con la finalità per la quale sono stati richiesti.

3. Se intende presentare una richiesta di dati a un titolare dei dati stabilito in un altro Stato membro, l’ ente_pubblico lo notifica preventivamente all’autorità competente designata ai sensi dell’articolo 37 in tale Stato membro. Tale obbligo si applica anche alle richieste presentate dalla Commissione, dalla Banca centrale europea e dagli organismi_dell’Unione. La richiesta è esaminata dall’autorità competente dello Stato membro in cui il titolare dei dati è stabilito.

4. Dopo aver esaminato la richiesta alla luce dei requisiti di cui all’articolo 17, la pertinente autorità competente intraprende senza indebito ritardo una delle azioni seguenti:

trasmette la richiesta al titolare dei dati e, se del caso, informa l’ ente_pubblico richiedente, la Commissione, la Banca centrale europea o l’organismo dell’Unione dell’eventuale necessità di cooperare con gli enti pubblici dello Stato membro in cui è stabilito il titolare dei dati al fine di ridurre l’onere amministrativo del titolare dei dati relativo al soddisfacimento della richiesta.;

b)	respinge la richiesta per motivi debitamente giustificati, conformemente al presente capo;

L’ ente_pubblico richiedente, la Commissione, la Banca centrale europea e l’organismo dell’Unione tengono conto del parere e dei motivi della pertinente autorità competente, ai sensi del primo comma, prima di intraprendere qualsiasi ulteriore azione, come ripresentare la richiesta, se del caso.

CAPO VI

PASSAGGIO TRA SERVIZI DI TRATTAMENTO DEI DATI

Articolo 31

Regime specifico per taluni servizi di trattamento dei dati

1. gli obblighi di cui all’articolo 23, lettera d), all’articolo 29 e all’articolo 30, paragrafi 1 e 3, non si applicano ai servizi di trattamento dei dati le cui caratteristiche principali siano state per la maggior parte personalizzate al fine di soddisfare le esigenze specifiche di un singolo cliente, o i cui componenti siano stati tutti sviluppati per le finalità di un singolo cliente, e qualora tali servizi di trattamento dei dati non siano offerti su vasta scala commerciale tramite il catalogo di servizi del fornitore di servizi di trattamento dei dati.

2. gli obblighi di cui al presente capo non si applicano ai servizi di trattamento dei dati forniti come versione non destinata alla produzione, a fini di prova e valutazione e per un periodo limitato di tempo.

3. Prima della conclusione di un contratto sulla fornitura dei servizi di trattamento dei dati di cui al presente articolo, il fornitore di servizi di trattamento dei dati informa il potenziale cliente degli obblighi del presente capo che non si applicano.

CAPO VII

ACCESSO GOVERNATIVO E TRASFERIMENTO INTERNAZIONALI DI DATI NON PERSONALI

Articolo 35

Interoperabilità dei servizi di trattamento dei dati

1. Le specifiche di interoperabilità aperte e le norme armonizzate per l’ interoperabilità dei servizi di trattamento dei dati:

a)	conseguono ove tecnicamente fattibile, l’ interoperabilità tra diversi servizi di trattamento dei dati che riguardano lo stesso_tipo_di_servizio;

b)	aumentano la portabilità delle risorse_digitali tra diversi servizi di trattamento dei dati che riguardano lo stesso_tipo_di_servizio;

c)	facilitano, ove tecnicamente fattibile, l’ equivalenza_funzionale tra i diversi servizi di trattamento dei dati di cui all’articolo 30, paragrafo 1, che riguardano lo stesso_tipo_di_servizio ;

d)	non incidono negativamente sulla sicurezza e sull’integrità dei servizi di trattamento dei dati e dei dati stessi;

e)	sono concepite in modo tale da consentire i progressi tecnologici e l’inclusione di nuove funzioni e innovazioni nei servizi di trattamento dei dati.

2. Le specifiche di interoperabilità aperte e le norme armonizzate per l’ interoperabilità dei servizi di trattamento dei dati contemplano adeguatamente:

gli aspetti di interoperabilità del cloud per quanto riguarda l’ interoperabilità del trasporto, l’ interoperabilità sintattica, l’ interoperabilità semantica dei dati, l’ interoperabilità comportamentale e l’ interoperabilità in conformità del quadro organizzativo, giuridico e strategico (policy interoperability);

b)	gli aspetti della portabilità dei dati su cloud per quanto riguarda la portabilità sintattica dei dati, la portabilità semantica dei dati e la portabilità dei dati in conformità del quadro organizzativo, giuridico e strategico (data policy portability);

gli aspetti delle applicazioni su cloud per quanto riguarda la portabilità sintattica delle applicazioni, la portabilità delle istruzioni delle applicazioni, la portabilità dei meta dati delle applicazioni, la portabilità del comportamento delle applicazioni e la portabilità delle applicazioni in conformità del quadro organizzativo, giuridico e strategico (application policy portability).

3. Le specifiche di interoperabilità aperte rispettano l’allegato II del regolamento (UE) n. 1025/2012.

4. Conformemente all’articolo 10, paragrafo 1, del regolamento (UE) n. 1025/2012, la Commissione può chiedere a una o più organizzazioni europee di normazione di elaborare norme armonizzate che soddisfino i requisiti essenziali di cui ai paragrafi 1 e 2 del presente articolo, dopo aver tenuto conto delle norme internazionali ed europee pertinenti e delle iniziative di autoregolamentazione.

5. La Commissione può adottare, mediante atti di esecuzione, specifiche_comuni sulla base di specifiche basate sull’ interoperabilità aperte che contemplino tutti i requisiti essenziali di cui ai paragrafi 1 e 2.

6. Nel predisporre il progetto di atto di esecuzione di cui al paragrafo 5 del presente articolo, la Commissione tiene conto dei pareri delle autorità competenti pertinenti di cui all’articolo 37, paragrafo 5, lettera h), e di altri organismi o gruppi di esperti pertinenti e consulta debitamente tutti i pertinenti portatori di interessi.

7. Qualora uno Stato membro ritenga che una specifica comune non soddisfi completamente i requisiti essenziali di cui ai paragrafi 1 e 2, esso ne informa la Commissione presentando una spiegazione dettagliata. La Commissione valuta tale spiegazione dettagliata e, se del caso, può modifica l’atto di esecuzione che stabilisce la specifica comune in questione.

8. Ai fini dell’articolo 30, paragrafo 3, la Commissione pubblica, mediante atti di esecuzione, i riferimenti delle norme armonizzate e delle specifiche_comuni per l’ interoperabilità dei servizi di trattamento dei dati in un archivio centrale dell’Unione delle norme per l’ interoperabilità dei servizi di trattamento dei dati.

9. gli atti di esecuzione di cui al presente articolo sono adottati secondo la procedura d’esame di cui all’articolo 46, paragrafo 2.

Articolo 37

Autorità competenti e coordinatori dei dati

1. Ciascuno Stato membro designa una o più autorità competenti incaricate dell’applicazione e dell’esecuzione del presente regolamento (autorità competenti). Gli Stati membri possono istituire una o più nuove autorità o fare affidamento sulle autorità esistenti.

2. Qualora uno Stato membro designi più di un’autorità competente, tra di esse designa un coordinatore dei dati per facilitare la cooperazione tra le autorità competenti e per assistere le entità che rientrano nell’ambito di applicazione del presente regolamento su tutte le questioni relative alla sua applicazione ed esecuzione. Le autorità competenti, nell’esercizio dei compiti e dei poteri ad esse assegnati a norma del paragrafo 5, cooperano tra loro.

3. Le autorità di controllo incaricate di sorvegliare l’applicazione del regolamento (UE) 2016/679 sono incaricate di sorvegliare l’applicazione del presente regolamento per quanto riguarda la protezione dei dati personali. I capi VI e VII del regolamento (UE) 2016/679 si applicano mutatis mutandis.

Il Garante europeo della protezione dei dati è incaricato di monitorare l’applicazione del presente regolamento nella misura in cui riguarda la Commissione, la Banca centrale europea o gli organismi_dell’Unione. Ove pertinente, l’articolo 62 del regolamento (UE) 2018/1725 si applica mutatis mutandis.

I compiti e i poteri delle autorità di controllo di cui al presente paragrafo sono esercitati in relazione al trattamento dei dati personali.

4. Fatto salvo il paragrafo 1 del presente articolo:

a)	per questioni specifiche concernenti l’accesso ai dati settoriali e il loro utilizzo relative all’attuazione del presente regolamento è rispettata la competenza delle autorità settoriali;

b)	l’autorità competente incaricata dell’applicazione e dell’esecuzione degli articoli da 23 a 31 e degli articoli 34 e 35 ha esperienza nel campo dei dati e dei servizi di comunicazioni elettroniche.

5. gli Stati membri provvedono affinché i compiti e poteri delle autorità competenti siano chiaramente definiti e comprendano:

a)	la promozione dell’ alfabetizzazione_in_materia_di_ dati e la sensibilizzazione degli utenti e delle entità che rientrano nell’ambito di applicazione del presente regolamento in merito ai diritti e agli obblighi a norma del presente regolamento;

il trattamento dei reclami derivanti da presunte violazioni del presente regolamento, anche in relazione a segreti commerciali, lo svolgimento di indagini, nella misura appropriata, sull’oggetto dei reclami e la periodica trasmissione di informazioni ai reclamanti, conformemente al diritto nazionale se del caso, in merito allo stato e all’esito delle indagini entro un termine ragionevole, in particolare ove siano necessari ulteriori indagini o il coordinamento con un’altra autorità competente;

c)	lo svolgimento di indagini su questioni relative all’applicazione del presente regolamento, anche sulla base di informazioni ricevute da un’altra autorità competente o da un’altra autorità pubblica;

d)	l’inflizione di sanzioni pecuniarie effettive, proporzionate e dissuasive che possono includere sanzioni periodiche e sanzioni con effetto retroattivo, o l’avvio di procedimenti giudiziari per l’inflizione di ammende;

e)	il monitoraggio degli sviluppi tecnologici e dei pertinenti sviluppi commerciali rilevanti per la messa a disposizione e l’utilizzo dei dati;

la cooperazione con le autorità competenti di altri Stati membri e, ove opportuno, con la Commissione o l’EDIB per garantire l’applicazione coerente ed efficiente del presente regolamento, compreso lo scambio di tutte le informazioni pertinenti per via elettronica, senza indebito ritardo, anche per quanto riguarda il paragrafo 10 del presente articolo;

la cooperazione con le autorità competenti pertinenti incaricate dell’attuazione di altri atti giuridici dell’Unione o nazionali, comprese le autorità competenti nel campo dei dati e dei servizi di comunicazioni elettroniche, l’autorità di controllo incaricata di sorvegliare l’applicazione del regolamento (UE) 2016/679 o le autorità settoriali, per garantire che il presente regolamento sia applicato coerentemente con il diritto dell’Unione e nazionale;

h)	la cooperazione con le autorità competenti pertinenti per garantire che gli articoli da 23 a 31 e gli articoli 34 e 35 siano applicati coerentemente con altro diritto dell’Unione e misure di autoregolamentazione applicabili ai fornitori di servizi di trattamento dei dati;

i)	la garanzia che le tariffe per il passaggio siano abolite conformemente all’articolo 29;

j)	l’esame delle richieste di dati presentate a norma del capo V.

Laddove designato, il coordinatore dei dati facilita la cooperazione di cui alle lettere f), g) e h), del primo comma e assiste le autorità competenti su loro richiesta.

6. Il coordinatore dei dati, laddove tale autorità competenti sia stata designata:

a)	funge da punto di contatto unico per tutte le questioni relative all’applicazione del presente regolamento;

b)	garantisce che le richieste di messa a disposizione dei dati presentate da enti pubblici in caso di eccezionale necessità a norma del capo V siano pubblicamente disponibili online e promuove accordi di condivisione dei dati volontari tra enti pubblici e titolari dei dati;

c)	informa la Commissione, su base annua, dei rifiuti notificati a norma dell’articolo 4, paragrafi 2 e 8, e dell’articolo 5, paragrafo 11.

7. gli Stati membri notificano alla Commissione i nomi delle autorità competenti designate e i compiti e poteri e, ove opportuno, il nome del coordinatore dei dati. La Commissione tiene un registro pubblico di tali autorità.

8. Nello svolgimento dei loro compiti e nell’esercizio dei loro poteri conformemente al presente regolamento, le autorità competenti rimangono imparziali, non subiscono alcuna influenza esterna, diretta o indiretta, e non sollecitano né accettano istruzioni, per singoli casi, da altre autorità pubbliche o da privati.

9. gli Stati membri provvedono affinché le autorità competenti dispongano delle risorse umane e tecniche sufficienti e delle opportune competenze per svolgere efficacemente i propri compiti conformemente al presente regolamento.

10. Le entità che rientrano nell’ambito di applicazione del presente regolamento sono soggette alla competenza dello Stato membro nel quale sono stabilite. Laddove l’entità sia stabilita in più di uno Stato membro, è considerata soggetta alla competenza dello Stato membro in cui ha lo stabilimento principale, ossia dove ha la sua amministrazione centrale o la sua sede sociale da cui esercita le principali funzioni finanziarie e il controllo operativo.

11. Qualsiasi entità rientrante nell’ambito di applicazione del presente regolamento che renda disponibili prodotti connessi o offra servizi correlati nell’Unione e che non sia stabilita nell’Unione designa un rappresentante legale in uno degli Stati membri.

12. Al fine di garantire la conformità al presente regolamento, il rappresentante legale riceve da un’entità rientrante nell’ambito di applicazione del presente regolamento che rende disponibili prodotti connessi o offre servizi correlati nell’Unione il mandato di essere interpellato oltre all’entità stessa o al suo posto dalle autorità competenti per quanto riguarda tutte le questioni relative a tale entità. Il rappresentante legale collabora con le autorità competenti e, su richiesta, dimostra loro in modo esauriente le misure adottate e le disposizioni messe in atto dall’entità rientrante nell’ambito di applicazione del presente regolamento che rende disponibili prodotti connessi o offre servizi correlati nell’Unione per garantire la conformità al presente regolamento.

13. Un’entità rientrante nell’ambito di applicazione del presente regolamento che rende disponibili prodotti connessi o offre servizi correlati nell’Unione è considerata soggetta alla giurisdizione dello Stato membro in cui è situato il suo rappresentante legale. La designazione di un rappresentante legale a cura di tale entità fa salve la responsabilità e le eventuali azioni legali che potrebbero essere promosse contro di essa. Fino a quando l’entità non avrà designato un rappresentante legale a norma del presente articolo, essa sarà soggetta alla competenza di tutti gli Stati membri, se del caso, al fine di garantire l’applicazione ed esecuzione del presente regolamento. Qualsiasi autorità competente può esercitare la propria competenza, anche infliggendo sanzioni effettive, proporzionate e dissuasive, a condizione che l’entità non sia soggetta a procedimenti esecutivi a norma del presente regolamento in relazione agli stessi fatti da parte di un’altra autorità competente.

14. Le autorità competenti hanno il potere di chiedere agli utenti, ai titolari dei dati o ai destinatari dei dati, ovvero ai loro rappresentanti legali, soggetti alla competenza del loro Stato membro tutte le informazioni necessarie a verificare la conformità al presente regolamento. Le richieste di informazioni sono motivate e proporzionate rispetto all’assolvimento del compito di base.

15. Se un’autorità competente di uno Stato membro chiede misure di assistenza o di esecuzione a un’autorità competente di un altro Stato membro, essa presenta una richiesta motivata. Al ricevimento di tale richiesta, l’autorità competente fornisce una risposta in cui si precisano le azioni che sono state adottate o che si prevede di adottare, senza indebito ritardo.

16. Le autorità competenti rispettano il principio di riservatezza e del segreto professionale e commerciale e tutelano i dati personali ai sensi del diritto dell’Unione o nazionale. Tutte le informazioni scambiate nel quadro di una richiesta di assistenza e fornite a norma del presente articolo sono utilizzate solo in relazione alla questione per cui sono state richieste.

Articolo 40

Sanzioni

1. gli Stati membri stabiliscono le norme relative alle sanzioni da applicare in caso di violazione del presente regolamento e adottano tutte le misure necessarie per assicurarne l’applicazione. Le sanzioni previste devono essere effettive, proporzionate e dissuasive.

2. gli Stati membri notificano tali norme e misure alla Commissione entro il 12 settembre 2025 e provvedono poi a dare immediata notifica delle eventuali modifiche successive. La Commissione tiene e aggiorna regolarmente un registro pubblico facilmente accessibile di tali misure.

3. Per l’inflizione delle sanzioni da applicare in caso di violazioni del presente regolamento, gli Stati membri tengono conto delle raccomandazioni dell’EDIB e dei criteri non esaustivi seguenti:

a)	la natura, la gravità, l’entità e la durata della violazione;

b)	eventuali azioni intraprese dall’autore della violazione per attenuare il danno causato dalla violazione o porvi rimedio;

c)	eventuali violazioni commesse in precedenza dall’autore della violazione;

d)	i vantaggi finanziari ottenuti o le perdite evitate dall’autore della violazione in ragione della violazione, nella misura in cui tali vantaggi o perdite possano essere determinati in modo attendibile;

e)	eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso;

f)	il fatturato annuo nell’Unione nell’esercizio precedente dell’autore della violazione.

4. Per l’inosservanza degli obblighi di cui ai capi II, III e V del presente regolamento, le autorità di controllo responsabili del controllo dell’applicazione del regolamento (UE) 2016/679 possono, nei limiti delle proprie competenze, infliggere sanzioni amministrative pecuniarie in conformità dell’articolo 83 del regolamento (UE) 2016/679 a concorrenza dell’importo di cui al paragrafo 5 del medesimo articolo.

5. Per l’inosservanza degli obblighi di cui al capo V del presente regolamento, il Garante europeo della protezione dei dati può, nei limiti delle proprie competenze, infliggere sanzioni amministrative pecuniarie conformemente all’articolo 66 del regolamento (UE) 2018/1725 a concorrenza dell’importo di cui al paragrafo 3 del medesimo articolo.

Articolo 49

Valutazione e riesame

1. Entro il 12 settembre 2028 la Commissione effettua una valutazione del presente regolamento e presenta al Parlamento europeo, al Consiglio e al Comitato economico e sociale europeo una relazione sulle principali conclusioni tratte. La valutazione verte in particolare sugli elementi seguenti:

le situazioni da considerare necessità eccezionali ai fini dell’articolo 15 del presente regolamento e dell’applicazione pratica del capo V del presente regolamento, in particolare l’esperienza nell’applicazione del capo V del presente regolamento da parte di enti pubblici, la Commissione, la Banca centrale europea e organismi_dell’Unione; numero ed esito dei procedimenti presentati all’autorità competente a norma dell’articolo 18, paragrafo 5, in merito all’applicazione del capo V del presente regolamento, come comunicato dalle autorità competenti; impatto di altri obblighi previsti dalle normative dell’Unione o nazionali ai fini del soddisfacimento delle richieste di accesso a informazioni; impatto dei meccanismi volontari di condivisione dei dati, ad esempio quelli messi in atto dalle organizzazioni per l’altruismo dei dati riconosciute a norma del regolamento (UE) 2022/868, sul conseguimento degli obiettivi del capo V del presente regolamento, e ruolo dei dati personali nel contesto dell’articolo 15 del presente regolamento, compresa l’evoluzione delle tecnologie di rafforzamento della tutela della vita privata;

b)	l’impatto del presente regolamento sull’uso dei dati nell’economia, anche per quanto riguarda l’innovazione in materia di dati, le prassi di monetizzazione dei dati e i servizi di intermediazione dei dati, nonché la condivisione dei dati nel quadro degli spazi comuni europei di dati;

c)	l’accessibilità e uso di diverse categorie e tipi di dati;

d)	l’esclusione di determinate categorie di imprese dal ruolo di beneficiario a norma dell’articolo 5;

e)	l’assenza di qualsiasi impatto sui diritti di proprietà intellettuale;

l’impatto sui segreti commerciali, anche per quanto riguarda la protezione contro l’acquisizione, l’utilizzo e la divulgazione illeciti, e impatto del meccanismo che consente al titolare dei dati di respingere la richiesta dell’ utente a norma dell’articolo 4, paragrafo 8, e dell’articolo 5, paragrafo 11, tenendo conto, nella misura del possibile, di qualsiasi revisione della direttiva (UE) 2016/943;

g)	se l’elenco delle clausole contrattuali abusive di cui all’articolo 13 sia aggiornato alla luce delle nuove pratiche commerciali e del rapido ritmo dell’innovazione del mercato;

h)	le modifiche delle pratiche contrattuali dei fornitori di servizi di trattamento dei dati, e se tali modifiche comportino un sufficiente rispetto dell’articolo 25;

i)	la diminuzione delle tariffe applicate dai fornitori di servizi di trattamento dei dati per il processo di passaggio, in linea con l’abolizione graduale delle tariffe di passaggio a norma dell’articolo 29;

j)	l’interazione del presente regolamento con altri atti giuridici dell’Unione rilevanti per l’economia dei dati;

k)	la prevenzione dell’accesso governativo illecito a dati non personali;

l)	l’efficacia del regime di esecuzione richiesto a norma dell’articolo 37;

m)	l’impatto del presente regolamento sulle PMI, sulla loro capacità di innovare e sulla disponibilità di servizi di trattamento dei dati per gli utenti dell’Unione, sull’onere che comporta il rispetto dei nuovi obblighi.

2. Entro il 12 settembre 2028 la Commissione effettua una valutazione del presente regolamento e presenta al Parlamento europeo, al Consiglio e al Comitato economico e sociale europeo una relazione sulle principali conclusioni tratte. Tale valutazione esamina l’impatto degli articoli da 23 a 31 e degli articoli 34 e 35, in particolare per quanto riguarda la fissazione dei prezzi e la diversità dei servizi di trattamento dei dati offerti all’interno dell’Unione, ponendo l’accento sulle PMI fornitrici.

3. gli Stati membri forniscono alla Commissione le informazioni necessarie per redigere delle relazioni di cui ai paragrafi 1 e 2.

4. Sulla base delle relazioni di cui ai paragrafi 1 e 2 la Commissione può presentare, se del caso, una proposta legislativa al Parlamento europeo e al Consiglio al fine di modificare il presente regolamento.

whereas

keyboard_tab Data Act 2023/2854 IT

Data Act 2023/2854 IT