keyboard_tab Data Act 2023/2854 IT
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Articolo 23 Eliminare gli ostacoli all’effettivo passaggio
- 1 Articolo 30 Aspetti tecnici del passaggio
- 1 Articolo 32 Accesso governativo e trasferimento internazionali
- 1 Articolo 40 Sanzioni
CAPO I
DISPOSIZIONI GENERALI
CAPO II
CONDIVISIONE DEI DATI DA IMPRESA A CONSUMATORE E DA IMPRESA A IMPRESA
CAPO III
OBBLIGHI PER I TITOLARI DEI DATI TENUTI A METTERE A DISPOSIZIONE I DATI A NORMA DEL DIRITTO DELL’UNIONE
CAPO IV
CLAUSOLE CONTRATTUALI ABUSIVE RELATIVE ALL’ACCESSO AI DATI E AL RELATIVO UTILIZZO TRA IMPRESE
CAPO V
METTERE I DATI A DISPOSIZIONE DI ENTI PUBBLICI, DELLA COMMISSIONE, DELLA BANCA CENTRALE EUROPEA E DI ORGANISMI DELL’UNIONE SULLA BASE DI NECESSITÀ ECCEZIONALI
CAPO VI
PASSAGGIO TRA SERVIZI DI TRATTAMENTO DEI DATI
CAPO VII
ACCESSO GOVERNATIVO E TRASFERIMENTO INTERNAZIONALI DI DATI NON PERSONALI
CAPO VIII
INTEROPERABILITÀ
CAPO IX
ATTUAZIONE ED ESECUZIONE
CAPO X
DIRITTO « SUI GENERIS » A NORMA DELLA DIRETTIVA 96/9/CE
CAPO XI
DISPOSIZIONI FINALI
- alfabetizzazione in materia di dati
- dati
- metadati
- dati personali
- dati non personali
- prodotto connesso
- servizio correlato
- trattamento
- servizio di trattamento dei dati
- stesso tipo di servizio
- servizio di intermediazione dei dati
- interessato
- utente
- titolare dei dati
- destinatario dei dati
- dati del prodotto
- dati di un servizio correlato
- dati prontamente disponibili
- segreto commerciale
- detentore del segreto commerciale
- profilazione
- messa a disposizione sul mercato
- immissione sul mercato
- consumatore
- impresa
- piccola impresa
- microimpresa
- organismi dell’Unione
- ente pubblico
- emergenza pubblica
- cliente
- assistenti virtuali
- risorse digitali
- infrastruttura TIC locale
- passaggio
- tariffe di uscita dei dati
- tariffe di passaggio
- equivalenza funzionale
- dati esportabili
- contratto intelligente
- interoperabilità
- specifica di interoperabilità aperta
- specifiche comuni
- norma armonizzata
- dati 47
- servizi 32
- trattamento 31
- fornitore 15
- paese 12
- terzo 12
- decisione 11
- presente 11
- fornitori 10
- regolamento 9
- nazionale 8
- servizio 8
- dell’unione 8
- violazione 8
- norme 7
- l’ 7
- interoperabilità 7
- richiesta 7
- all’articolo 7
- trasferimento 7
- passaggio 7
- diritto 7
- sanzioni 6
- sentenza 6
- misure 6
- caso 6
- destinatario 6
- conformemente 5
- accesso 5
- membri 5
- cliente 5
- stati 5
- per 4
- nell’unione 4
- personali 4
- membro 4
- fine 4
- internazionale 4
- articolo 4
- un’autorità 4
- giurisdizionale 4
- i 4
- autorità 4
- competente 4
- adottano 4
- eventuali 4
- condizioni 4
- stesso_tipo_di_servizio 4
- armonizzate 3
- assistenza 3
Articolo 23
Eliminare gli ostacoli all’effettivo passaggio
I fornitori di servizi di trattamento dei dati adottano le misure di cui agli articoli 25, 26, 27, 29 e 30 per consentire ai clienti di passare a un servizio di trattamento dei dati, che copre lo stesso_tipo_di_servizio ed è fornito da un diverso fornitore di servizi di trattamento dei dati, o a un’ infrastruttura_TIC_locale, o, se del caso, di utilizzare più fornitori di servizi di trattamento dei dati contemporaneamente. I fornitori di servizi di trattamento dei dati non impongono ed eliminano in particolare gli ostacoli pre-commerciali, commerciali, tecnici, contrattuali e organizzativi che impediscono ai clienti di:
| a) | risolvere, dopo il termine massimo di preavviso e il completamento positivo del processo di passaggio, conformemente all’articolo 25, il contratto del servizio di trattamento dei dati; |
| b) | concludere nuovi contratti con un altro fornitore di servizi di trattamento dei dati che coprono lo stesso_tipo_di_servizio; |
| c) | trasferire i dati esportabili del cliente e risorse_digitali a un diverso fornitore di servizi di trattamento dei dati o a un’ infrastruttura_TIC_locale, anche dopo aver beneficiato di un’offerta gratuita; |
| d) | conformemente all’articolo 24, conseguire l’ equivalenza_funzionale nell’utilizzo del nuovo servizio di trattamento dei dati nell’ambiente informatico di un altro fornitore di servizi di trattamento dei dati che copre il servizio equivalente ; |
| e) | disaggregare, ove tecnicamente fattibile, i servizi di trattamento dei dati di cui all’articolo 30, paragrafo 1, da altri servizi di trattamento dei dati forniti dal fornitore di servizi di trattamento dei dati. |
Articolo 30
Aspetti tecnici del passaggio
1. I fornitori di servizi di trattamento dei dati concernenti risorse informatiche scalabili ed elastiche limitate a elementi infrastrutturali quali server, reti e risorse virtuali necessarie per il funzionamento dell’infrastruttura, che non forniscono tuttavia accesso ad applicazioni, servizi e software operativi memorizzati, altrimenti trattati o installati su tali elementi infrastrutturali, adottano, conformemente all’articolo 27, tutte le misure ragionevoli in loro potere per far sì che il cliente, dopo il passaggio a un servizio che copre lo stesso_tipo_di_servizio, raggiunga l’ equivalenza_funzionale nell’utilizzo del servizio del trattamento dei dati di destinazione. Il fornitore di servizi di trattamento dei dati di origine agevola il processo di passaggio fornendo capacità, sufficienti informazioni, documentazione, assistenza tecnica e, se del caso, gli strumenti necessari.
2. I fornitori di servizi di trattamento dei dati, diversi da quelli di cui al paragrafo 1, rendono disponibili a titolo gratuito interfacce aperte in egual misura per tutti i loro clienti e i fornitori di servizi di destinazione interessati al fine di agevolare il processo di passaggio. Tali interfacce includono informazioni sufficienti sul servizio in questione onde permettere lo sviluppo di software per comunicare con i servizi, ai fini della portabilità e dell’ interoperabilità dei dati.
3. Per i servizi di trattamento dei dati diversi da quelli di cui al paragrafo 1 del presente articolo, i fornitori di servizi di trattamento dei dati garantiscono la compatibilità con specifiche_comuni basate sulle specifiche di interoperabilità aperte o norme armonizzate per l’ interoperabilità almeno 12 mesi dopo la pubblicazione dei riferimenti a tali specifiche_comuni o norme armonizzate per l’ interoperabilità di servizi di trattamento dei dati, nell’archivio centrale dell’Unione delle norme per l’ interoperabilità dei servizi di trattamento dei dati, a seguito della pubblicazione degli atti di esecuzione di base nella Gazzetta ufficiale dell’Unione europea, in conformità dell’articolo 35, paragrafo 7.
4. I fornitori di servizi di trattamento dei dati diversi da quelli di cui al paragrafo 1 del presente articolo aggiornano il registro online di cui all’articolo 26, lettera b), conformemente agli obblighi di cui al paragrafo 3 del presente articolo.
5. In caso di passaggio tra servizi dello stesso_tipo_di_servizio, per i quali le specifiche_comuni o le norme armonizzate per l’ interoperabilità di cui al paragrafo 3 del presente articolo non siano state pubblicate nell’archivio centrale dell’Unione delle norme per l’ interoperabilità dei servizi di trattamento dei dati a norma dell’articolo 35, paragrafo 8, il fornitore dei servizi di trattamento dei dati esporta, su richiesta del cliente, tutti i dati esportabili in un formato strutturato, di uso comune e leggibile da dispositivo automatico.
6. I fornitori di servizi di trattamento dei dati non sono tenuti a sviluppare nuove tecnologie o servizi, o a comunicare o trasferire risorse_digitali che sono protette da diritti di proprietà intellettuale o che costituiscono un segreto_commerciale, a un cliente o a un diverso fornitore di servizi di trattamento dei dati, né a compromettere la sicurezza e l’integrità del servizio del cliente o del fornitore.
Articolo 32
Accesso governativo e trasferimento internazionali
1. Fatti salvi i paragrafi 2 o 3, i fornitori di servizi di trattamento dei dati adottano tutte le misure tecniche, organizzative e giuridiche appropriate, ivi compresi contratti, al fine di impedire l’accesso governativo internazionale e di paesi terzi ai dati non personali detenuti nell’Unione e il trasferimento dei dati nei casi in cui tale trasferimento o accesso creerebbe un conflitto con il diritto dell’Unione o con il diritto nazionale dello Stato membro interessato.
2. Le decisioni o le sentenze di un organo giurisdizionale di un paese terzo e le decisioni di un’autorità amministrativa di un paese terzo che obbligano un fornitore di servizi di trattamento dei dati a trasferire dati non personali detenuti nell’Unione che rientrano nell’ambito di applicazione del presente regolamento o a concedervi l’accesso sono riconosciute o assumono qualsivoglia carattere esecutivo soltanto se basate su un accordo internazionale in vigore tra il paese terzo richiedente e l’Unione, ad esempio un trattato di mutua assistenza giudiziaria, o su qualsiasi accordo analogo tra il paese terzo richiedente e uno Stato membro.
3. In assenza di un accordo internazionale di cui al paragrafo 2, se un fornitore di servizi di trattamento dei dati è destinatario di una decisione o sentenza di un organo giurisdizionale di un paese terzo o di una decisione di un’autorità amministrativa di un paese terzo che prevede il trasferimento di dati non personali detenuti nell’Unione che rientrano nell’ambito di applicazione del presente regolamento o la concessione dell’accesso a tali dati, e il rispetto di tale decisione rischiasse di porre il destinatario della decisione in conflitto con il diritto dell’Unione o con il diritto nazionale dello Stato membro interessato, il trasferimento di tali dati o l’accesso agli stessi da parte di tale autorità del paese terzo ha luogo solo se:
| a) | il sistema del paese terzo richiede che siano indicati i motivi e la proporzionalità di siffatta decisione o sentenza, e che tale decisione o sentenza abbia carattere specifico, ad esempio stabilendo un nesso sufficiente con determinate persone sospettate o determinate violazioni; |
| b) | l’obiezione motivata del destinatario è oggetto di esame da parte di un organo giurisdizionale competente del paese terzo; e |
| c) | l’organo giurisdizionale competente del paese terzo che emette la decisione o la sentenza o esamina la decisione di un’autorità amministrativa ha il potere, in virtù del diritto di tale paese terzo, di tenere debitamente conto dei pertinenti interessi giuridici del fornitore dei dati tutelati a norma del diritto dell’Unione o dal diritto nazionale dello Stato membro interessato. |
Il destinatario della decisione o della sentenza può chiedere il parere del pertinente organismo o autorità nazionale competente per la cooperazione giudiziaria internazionale, al fine di determinare se tali condizioni di cui al primo comma sono soddisfatte, in particolare quando ritiene che la decisione possa riguardare segreti commerciali e altri dati commercialmente sensibili, nonché contenuti protetti da diritti di proprietà intellettuale, o che il trasferimento possa portare alla reidentificazione. L’organismo o l’autorità nazionale pertinente può consultare la Commissione. Se ritiene che la decisione o la sentenza possa incidere sugli interessi di sicurezza nazionale o di difesa dell’Unione o dei suoi Stati membri, il destinatario chiede il parere dell’organismo o dell’autorità nazionale competente al fine di determinare se i dati richiesti riguardino interessi di sicurezza nazionale o di difesa dell’Unione o dei suoi Stati membri. Se non ha ricevuto risposta entro un mese, o se il parere di tale organismo o autorità conclude che non sono soddisfatte le condizioni di cui al primo comma, il destinatario può respingere la richiesta di trasferimento o di accesso a dati non personali per tali motivi.
L’EDIB di cui all’articolo 42 fornisce consulenza e assistenza alla Commissione nell’elaborazione di orientamenti sulla valutazione del rispetto delle condizioni di cui al primo comma del presente paragrafo.
4. Se le condizioni stabilite ai paragrafi 2 o 3 sono rispettate, il fornitore di servizi di trattamento dei dati fornisce la quantità minima di dati ammissibile in risposta a una richiesta, sulla base dell’interpretazione ragionevole di tale richiesta da parte del fornitore o dell’organismo o dell’autorità nazionali competenti di cui al paragrafo 3, secondo comma.
5. Il fornitore di servizi di trattamento dei dati informa il consumatore dell’esistenza di una richiesta di accesso ai suoi dati da parte di un’autorità di un paese terzo prima di dare seguito a tale richiesta, tranne se la richiesta abbia fini di contrasto e per il tempo necessario a preservare l’efficacia dell’attività di contrasto.
CAPO VIII
INTEROPERABILITÀ
Articolo 40
Sanzioni
1. Gli Stati membri stabiliscono le norme relative alle sanzioni da applicare in caso di violazione del presente regolamento e adottano tutte le misure necessarie per assicurarne l’applicazione. Le sanzioni previste devono essere effettive, proporzionate e dissuasive.
2. Gli Stati membri notificano tali norme e misure alla Commissione entro il 12 settembre 2025 e provvedono poi a dare immediata notifica delle eventuali modifiche successive. La Commissione tiene e aggiorna regolarmente un registro pubblico facilmente accessibile di tali misure.
3. Per l’inflizione delle sanzioni da applicare in caso di violazioni del presente regolamento, gli Stati membri tengono conto delle raccomandazioni dell’EDIB e dei criteri non esaustivi seguenti:
| a) | la natura, la gravità, l’entità e la durata della violazione; |
| b) | eventuali azioni intraprese dall’autore della violazione per attenuare il danno causato dalla violazione o porvi rimedio; |
| c) | eventuali violazioni commesse in precedenza dall’autore della violazione; |
| d) | i vantaggi finanziari ottenuti o le perdite evitate dall’autore della violazione in ragione della violazione, nella misura in cui tali vantaggi o perdite possano essere determinati in modo attendibile; |
| e) | eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso; |
| f) | il fatturato annuo nell’Unione nell’esercizio precedente dell’autore della violazione. |
4. Per l’inosservanza degli obblighi di cui ai capi II, III e V del presente regolamento, le autorità di controllo responsabili del controllo dell’applicazione del regolamento (UE) 2016/679 possono, nei limiti delle proprie competenze, infliggere sanzioni amministrative pecuniarie in conformità dell’articolo 83 del regolamento (UE) 2016/679 a concorrenza dell’importo di cui al paragrafo 5 del medesimo articolo.
5. Per l’inosservanza degli obblighi di cui al capo V del presente regolamento, il Garante europeo della protezione dei dati può, nei limiti delle proprie competenze, infliggere sanzioni amministrative pecuniarie conformemente all’articolo 66 del regolamento (UE) 2018/1725 a concorrenza dell’importo di cui al paragrafo 3 del medesimo articolo.
whereas