keyboard_tab Data Act 2023/2854 IT
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Articolo 4 Diritti e obblighi degli utenti e dei titolari dei dati per l’accesso, l’utilizzo e la messa a disposizione dei dati del prodotto e del servizio correlato
- 1 Articolo 10 Risoluzione delle controversie
- 1 Articolo 11 Misure tecniche di protezione relative all’uso non autorizzato o alla divulgazione dei dati
- 1 Articolo 17 Richieste di messa a disposizione di dati
- 1 Articolo 37 Autorità competenti e coordinatori dei dati
- 1 Articolo 39 Diritto a un ricorso giurisdizionale effettivo
- 4 Articolo 40 Sanzioni
CAPO I
DISPOSIZIONI GENERALI
CAPO II
CONDIVISIONE DEI DATI DA IMPRESA A CONSUMATORE E DA IMPRESA A IMPRESA
CAPO III
OBBLIGHI PER I TITOLARI DEI DATI TENUTI A METTERE A DISPOSIZIONE I DATI A NORMA DEL DIRITTO DELL’UNIONE
CAPO IV
CLAUSOLE CONTRATTUALI ABUSIVE RELATIVE ALL’ACCESSO AI DATI E AL RELATIVO UTILIZZO TRA IMPRESE
CAPO V
METTERE I DATI A DISPOSIZIONE DI ENTI PUBBLICI, DELLA COMMISSIONE, DELLA BANCA CENTRALE EUROPEA E DI ORGANISMI DELL’UNIONE SULLA BASE DI NECESSITÀ ECCEZIONALI
CAPO VI
PASSAGGIO TRA SERVIZI DI TRATTAMENTO DEI DATI
CAPO VII
ACCESSO GOVERNATIVO E TRASFERIMENTO INTERNAZIONALI DI DATI NON PERSONALI
CAPO VIII
INTEROPERABILITÀ
CAPO IX
ATTUAZIONE ED ESECUZIONE
CAPO X
DIRITTO « SUI GENERIS » A NORMA DELLA DIRETTIVA 96/9/CE
CAPO XI
DISPOSIZIONI FINALI
- alfabetizzazione in materia di dati
- dati
- metadati
- dati personali
- dati non personali
- prodotto connesso
- servizio correlato
- trattamento
- servizio di trattamento dei dati
- stesso tipo di servizio
- servizio di intermediazione dei dati
- interessato
- utente
- titolare dei dati
- destinatario dei dati
- dati del prodotto
- dati di un servizio correlato
- dati prontamente disponibili
- segreto commerciale
- detentore del segreto commerciale
- profilazione
- messa a disposizione sul mercato
- immissione sul mercato
- consumatore
- impresa
- piccola impresa
- microimpresa
- organismi dell’Unione
- ente pubblico
- emergenza pubblica
- cliente
- assistenti virtuali
- risorse digitali
- infrastruttura TIC locale
- passaggio
- tariffe di uscita dei dati
- tariffe di passaggio
- equivalenza funzionale
- dati esportabili
- contratto intelligente
- interoperabilità
- specifica di interoperabilità aperta
- specifiche comuni
- norma armonizzata
- dati 176
- presente 55
- titolare 46
- regolamento 41
- utente 37
- autorità 35
- norma 31
- controversie 26
- risoluzione 25
- misure 23
- richiesta 23
- dell’articolo 23
- disposizione 22
- paragrafo 21
- competenti 20
- membro 18
- competente 18
- organismo 17
- qualora 17
- diritto 17
- caso 17
- tecniche 16
- l’ 15
- dell’unione 15
- conformità 14
- commerciali 14
- ue / 13
- informazioni 13
- stati 12
- richiesti 12
- dell’ 12
- personali 12
- titolari 12
- centrale 11
- all’articolo 11
- sanzioni 11
- sensi 11
- violazione 11
- fine 11
- protezione 11
- segreti 11
- membri 11
- parti 11
- terzi 11
- ritardo 11
- indebito 11
- eventuali 10
- europea 10
- relative 10
- servizi 10
Articolo 4
Diritti e obblighi degli utenti e dei titolari dei dati per l’accesso, l’utilizzo e la messa a disposizione dei dati del prodotto e del servizio_correlato
1. Qualora l’ utente non possa accedere direttamente ai dati a partire dal prodotto_connesso o dal servizio_correlato, i titolari dei dati mettono prontamente a disposizione dell’ utente i dati, nonché i pertinenti meta dati necessari per interpretare e utilizzare tali dati senza indebito ritardo, con la stessa qualità di cui dispone il titolare dei dati, in modo facile, sicuro, gratuitamente, in un formato completo, strutturato, di uso comune e leggibile da dispositivo automatico e, ove pertinente e tecnicamente possibile, modo continuo e in tempo reale. Ciò avviene sulla base di una semplice richiesta mediante mezzi elettronici, ove tecnicamente fattibile.
2. Gli utenti e i titolari dei dati possono limitare o vietare contrattualmente l’accesso ai dati, il loro uso o la loro ulteriore condivisione nel caso in cui tale trattamento possa compromettere i requisiti di sicurezza del prodotto_connesso, come previsto dal diritto dell’Unione o nazionale, e comportare gravi effetti negativi per la salute, la sicurezza o la protezione delle persone fisiche. Le autorità settoriali possono fornire agli utenti e ai titolari dei dati competenze tecniche in tale contesto. Qualora rifiuti di condividere i dati ai sensi del presente articolo, il titolare dei dati notifica l’autorità competente designata ai sensi dell’articolo 37.
3. Fatto salvo il diritto dell’ utente di presentare ricorso in qualsiasi momento dinanzi a un organo giurisdizionale di uno Stato membro, in caso di eventuale controversia con il titolare dei dati relativamente a limitazioni o divieti contrattuali di cui al paragrafo 2 l’ utente può:
| a) | presentare, conformemente all’articolo 37, paragrafo 5, lettera b), un reclamo all’autorità competente; o |
| b) | convenire con il titolare dei dati di deferire la questione a un organismo di risoluzione delle controversie in conformità dell’articolo 10, paragrafo 1. |
4. I titolari dei dati non rendono indebitamente difficile l’esercizio delle scelte o dei diritti degli utenti a norma del presente articolo, ad esempio offrendo loro scelte in modo non neutrale o compromettendo o pregiudicando l’autonomia, il processo decisionale o le scelte dell’ utente attraverso la struttura, la progettazione, le funzioni o il funzionamento di un’interfaccia utente digitale o di una sua parte.
5. Al fine di verificare se una persona fisica o giuridica si possa considerare un utente ai fini del paragrafo 1, un titolare dei dati non impone a tale persona di fornire informazioni al di là di quanto necessario . I titolari dei dati non conservano informazioni, in particolare dati di registro, sull’accesso dell’ utente ai dati richiesti al di là di quanto necessario per la corretta esecuzione della richiesta di accesso dell’ utente e per la sicurezza e la manutenzione dell’infrastruttura di dati.
6. I segreti commerciali sono conservati e comunicati solo a condizione che prima della comunicazione il titolare dei dati e l’ utente adottino tutte le misure necessarie per tutelarne la riservatezza, in particolare rispetto a terzi. Il titolare dei dati o, qualora non si tratti della stessa persona, il detentore del segreto_commerciale individua i dati protetti quali segreti commerciali, anche nei pertinenti meta dati, e concorda con l’ utente le misure tecniche e organizzative proporzionate necessarie a preservare la riservatezza dei dati condivisi, in particolare rispetto a terzi, quali clausole contrattuali tipo, accordi di riservatezza, protocolli di accesso rigorosi, norme tecniche e l’applicazione di codici di condotta.
7. In assenza di accordo sulle misure necessarie di cui al paragrafo 6 o qualora l’ utente non attui le misure concordate a norma del paragrafo 6 o pregiudichi la riservatezza dei segreti commerciali, il titolare dei dati può bloccare o, se del caso, sospendere la condivisione dei dati identificati come segreti commerciali. La decisione del titolare dei dati è debitamente motivata e fornita all’ utente per iscritto e senza indebito ritardo. In tali casi il titolare dei dati notifica all’autorità competente designata a norma dell’articolo 37 di aver bloccato o sospeso la condivisione dei dati e indica quali misure non sono state concordate o attuate e, se del caso, di quali segreti commerciali è stata pregiudicata la riservatezza.
8. In circostanze eccezionali, qualora il titolare dei dati che è detentore di un segreto_commerciale possa dimostrare che subirà molto probabilmente gravi danni economici a causa della divulgazione di segreti commerciali, malgrado le misure tecniche e organizzative adottate dall’ utente a norma del paragrafo 6 del presente articolo, detto titolare dei dati può rifiutare di volta in volta una richiesta di accesso ai dati specifici in questione. Tale dimostrazione è debitamente motivata sulla base di elementi oggettivi, in particolare l’applicabilità della protezione dei segreti commerciali in paesi terzi, la natura e il livello di riservatezza dei dati richiesti nonché l’unicità e la novità del prodotto_connesso, ed è fornita per iscritto all’ utente e senza indebito ritardo. Qualora rifiutasse di condividere i dati ai sensi del presente paragrafo, il titolare dei dati notifica l’autorità competente designata a norma dell’articolo 37.
9. Fatto salvo il diritto di un utente di presentare ricorso in qualsiasi momento dinanzi a un organo giurisdizionale di uno Stato membro, un utente che intenda contestare la decisione di un titolare dei dati di rifiutare, o di bloccare o sospendere la condivisione di dati a norma dei paragrafi 7 e 8 può:
| a) | presentare, conformemente all’articolo 37, paragrafo 5, lettera b), un reclamo all’autorità competente che decide senza indebito ritardo se e a quali condizioni debba iniziare o riprendere la condivisione dei dati; o |
| b) | convenire con il titolare dei dati di deferire la questione a un organismo di risoluzione delle controversie in conformità dell’articolo 10, paragrafo 1. |
10. L’ utente non utilizza i dati ottenuti in seguito a una richiesta di cui al paragrafo 1 per sviluppare un prodotto_connesso in concorrenza con il prodotto_connesso da cui provengono i dati, né li condivide con un terzo con tale intenzione e non utilizza tali dati per ottenere informazioni sulla situazione economica, sulle risorse e sui metodi di produzione del fabbricante o, se applicabile, del titolare dei dati.
11. L’ utente non utilizza mezzi coercitivi né abusa di lacune nell’infrastruttura tecnica del titolare dei dati destinata a proteggere i dati al fine di ottenere l’accesso agli stessi.
12. Se l’ utente non è l’ interessato i cui dati personali sono richiesti, i dati personali generati dall’uso di un prodotto_connesso o di un servizio_correlato sono messi a disposizione dell’ utente dal titolare dei dati solo se esiste una valida base giuridica del trattamento a norma dell’articolo 6 del regolamento (UE) 2016/679 e, ove pertinente, se sono soddisfatte le condizioni di cui all’articolo 9 di detto regolamento e all’articolo 5, paragrafo 3, della direttiva 2002/58/CE.
13. Un titolare dei dati utilizza eventuali dati non personali prontamente disponibili solo sulla base di un contratto stipulato con l’ utente. Un titolare dei dati non utilizza tali dati per ottenere informazioni sulla situazione economica, sulle risorse e sui metodi di produzione dell’ utente, o sull’utilizzo da parte di quest’ultimo in qualsiasi altro modo che potrebbe compromettere la sua posizione commerciale sui mercati in cui l’ utente è attivo.
14. I titolari dei dati non mettono a disposizione di terzi i dati non personali del prodotto a fini commerciali o non commerciali diversi dall’esecuzione del loro contratto con l’ utente. Se del caso, i titolari dei dati vincolano contrattualmente i terzi a non condividere ulteriormente i dati da essi ricevuti.
Articolo 10
Risoluzione delle controversie
1. Gli utenti, i titolari dei dati e i destinatari dei dati hanno accesso a un organismo di risoluzione delle controversie, certificati in conformità al paragrafo 5 del presente articolo, per comporre le controversie ai sensi dell’articolo 4, paragrafi 3 e 9, e dell’articolo 5, paragrafo 12, nonché le controversie relative all’adempimento, da parte del titolare dei dati, dell’obbligo di mettere i dati a disposizione del destinatario dei dati, nonché a condizioni eque, ragionevoli e non discriminatori e a modalità trasparenti di messa a disposizione dei dati a norma del presente capo e del capo IV.
2. Gli organismi di risoluzione delle controversie rendono noti alle parti interessate le tariffe, o i meccanismi utilizzati per determinare tali tariffe, prima che le parti interessate richiedano una decisione.
3. In caso di controversie deferite a un organismo di risoluzione delle controversie di cui all’articolo 4, paragrafo 3, qualora l’organismo di risoluzione delle controverse risolva la controversia a favore dell’ utente o del destinatario dei dati, il titolare dei dati sostiene tutti i costi stabiliti dall’organismo di risoluzione delle controversie e rimborsa all’ utente o al destinatario dei dati tutte le altre spese ragionevoli da questi sostenute relativamente alla risoluzione della controversia. Qualora l’organismo di risoluzione delle controverse risolva la controversia a favore del titolare dei dati, l’ utente o il destinatario dei dati non è tenuto a rimborsare costi o altre spese che il titolare dei dati ha sostenuto o deve sostenere relativamente alla risoluzione della controversia, a meno che l’organismo di risoluzione delle controversie ritenga che l’ utente o il destinatario dei dati abbia agito manifestamente in malafede.
4. I clienti e i fornitori di servizi di trattamento dei dati hanno accesso a un organismo di risoluzione delle controversie, certificati in conformità del paragrafo 6 del presente articolo, per comporre le controversie relative a violazioni dei diritti dei clienti e degli obblighi dei fornitori di servizi di trattamento dei dati, in conformità degli articoli da 23 a 31.
5. Su richiesta dell’organismo di risoluzione delle controversie lo Stato membro in cui questi è stabilito certifica che l’organismo ha dimostrato di soddisfare tutte le condizioni seguenti:
| a) | è imparziale e indipendente e adotterà le proprie decisioni conformemente a norme procedurali chiare, non discriminatorie ed eque; |
| b) | dispone delle competenze necessarie, in particolare in relazione a condizioni eque, ragionevoli e non discriminatori, compreso il compenso, e alla messa a disposizione dei dati in modo trasparente, che consentono all’organismo di determinare efficacemente tali condizioni; |
| c) | è facilmente accessibile attraverso le tecnologie di comunicazione elettronica; |
| d) | è in grado di adottare le proprie decisioni in modo rapido, efficiente ed efficace sotto il profilo dei costi in almeno una delle lingue ufficiali dell’Unione. |
6. Gli Stati membri notificano alla Commissione gli organismi di risoluzione delle controversie certificati in conformità del paragrafo 5. La Commissione pubblica un elenco di tali organismi su un sito web dedicato e lo mantiene aggiornato.
7. Un organismo di risoluzione delle controversie rifiuta di dare seguito a una richiesta di risoluzione di una controversia già presentata dinanzi a un altro organismo di risoluzione delle controversie o dinanzi a un organo giurisdizionale di uno Stato membro.
8. Un organismo di risoluzione delle controversie concede alle parti la possibilità, entro un termine ragionevole, di esprimere il loro punto di vista sulle questioni che le parti hanno sottoposto a tale organismo. In tale contesto, ciascuna delle parti in causa trasmette alle parti le comunicazioni relative alla controversia presentate dall’altra parte e le eventuali dichiarazioni di esperti. Alle parti è data la possibilità di presentare osservazioni in merito a tali comunicazioni e dichiarazioni.
9. Un organismo di risoluzione delle controversie adotta la sua decisione su una questione sottopostagli entro 90 giorni dal ricevimento di una richiesta ai sensi dei paragrafi 1 e 4. Tale decisione è adottata per iscritto o su un supporto durevole ed è suffragata da una motivazione.
10. Gli organismi di risoluzione delle controversie redigono e rendono pubbliche le relazioni annuali di attività. Tali relazioni annuali contengono in particolare le informazioni generali seguenti:
| a) | un’aggregazione dei risultati delle controversie; |
| b) | il tempo medio necessario per la risoluzione delle controversie; |
| c) | i motivi più comuni alla base delle controversie. |
11. Al fine di agevolare lo scambio di informazioni e migliori prassi, un organismo pubblico di risoluzione delle controversie può decidere di includere raccomandazioni nella relazione di cui al paragrafo 10 su come evitare o risolvere problemi.
12. La decisione dell’organismo di risoluzione delle controversie è vincolante per le parti solo se le parti hanno esplicitamente acconsentito al suo carattere vincolante prima dell’avvio del procedimento di risoluzione delle controversie.
13. Il presente articolo non pregiudica il diritto delle parti a un ricorso effettivo dinanzi a un organo giurisdizionale di uno Stato membro.
Articolo 11
Misure tecniche di protezione relative all’uso non autorizzato o alla divulgazione dei dati
1. Un titolare dei dati può applicare adeguate misure tecniche di protezione, compresi i contratti intelligenti e la cifratura, per impedire l’accesso non autorizzato ai dati, meta dati compresi, e garantire il rispetto degli articoli 4, 5, 6, 8 e 9, nonché delle clausole contrattuali concordate per la messa a disposizione dei dati. Tali misure tecniche di protezione non creano discriminazioni tra i destinatari dei dati né ostacolano il diritto dell’ utente di ottenere una copia, reperire, utilizzare o accedere ai dati o fornire dati a terzi a norma dell’articolo 5 o qualsiasi diritto di terzi a norma del diritto dell’Unione o della legislazione nazionale adottata ai sensi del diritto dell’Unione. Gli utenti, i terzi e altri destinatari dei dati non modificano né rimuovono dette misure tecniche di protezione, salvo accordo con il titolare dei dati.
2. Nelle circostanze di cui al paragrafo 3, il terzo o il destinatario dei dati adempie, senza indebito ritardo, alle richieste del titolare dei dati e, se del caso e qualora non si tratti della stessa persona, del detentore del segreto_commerciale, oppure dell’ utente di:
| a) | cancellare i dati messi a disposizione dal titolare dei dati e le loro eventuali copie; |
| b) | porre fine alla produzione, all’offerta o all’ immissione_sul_mercato o all’uso di beni, dati derivati o servizi prodotti sulla base delle conoscenze ottenute mediante tali dati, o all’importazione, all’esportazione o allo stoccaggio di merci costituenti violazione a tali fini, e a distruggere le merci costituenti violazione, qualora sussista un grave rischio che l’uso illecito di tali dati causi un danno significativo al titolare dei dati, al detentore del segreto_commerciale o all’ utente oppure qualora una tale misura non sarebbe sproporzionata rispetto agli interessi del titolare dei dati, del detentore del segreto_commerciale o dell’ utente; |
| c) | informare l’ utente dell’uso o della divulgazione non autorizzati dei dati e delle misure adottate per porre fine all’uso o alla divulgazione non autorizzati dei dati; |
| d) | compensare la parte lesa dall’uso improprio o dalla divulgazione di tali dati utilizzati o cui si ha avuto accesso in modo illecito. |
3. Il paragrafo 2 si applica qualora un terzo o un destinatario dei dati :
| a) | al fine di ottenere dati , abbia fornito a un titolare dei dati informazioni false, ha impiegato mezzi ingannevoli o coercitivi o ha abusato di lacune nell’infrastruttura tecnica del titolare dei dati destinata a proteggere i dati; |
| b) | abbia utilizzato i dati messi a disposizione per scopi non autorizzati, compreso lo sviluppo di un prodotto_connesso concorrente ai sensi dell’articolo 6, paragrafo 2, lettera e); |
| c) | abbia comunicato illecitamente i dati a terzi; |
| d) | non abbia mantenuto le misure tecniche e organizzative concordate a norma dell’articolo 5, paragrafo 9; o |
| e) | abbia modificato o rimosso le misure tecniche di protezioni applicate dal titolare dei dati, in conformità del paragrafo 1 del presente articolo, senza l’accordo del titolare dei dati. |
4. Il paragrafo 2 si applica altresì qualora un utente modifichi o rimuova le misure tecniche di protezione applicate dal titolare dei dati oppure non mantenga le misure tecniche e organizzative adottate dall’ utente in accordo con il titolare dei dati o, qualora non si tratti della stessa persona, con il detentore del segreto_commerciale al fine di preservare i segreti commerciali, nonché riguardo a qualsiasi terzo che riceva i dati dall’ utente mediante una procedura d’infrazione del presente regolamento.
5. Qualora il destinatario dei dati violi l’articolo 6, paragrafo 2, lettere a) e b), gli utenti hanno gli stessi diritti dei titolari dei dati a norma del presente articolo.
Articolo 17
Richieste di messa a disposizione di dati
1. Se richiede dati a norma dell’articolo 14, un ente_pubblico, la Commissione, la Banca centrale europea o un organismo dell’Unione:
| a) | specifica i dati richiesti, compresi i pertinenti meta dati necessari per interpretare e utilizzare tali dati; |
| b) | dimostra che sono soddisfatte le condizioni necessarie perché sussista una necessità eccezionale di cui all’articolo 15 al cui fine sono richiesti i dati; |
| c) | spiega la finalità della richiesta, l’utilizzo previsto dei dati richiesti, compreso, se del caso, da parte di un terzo in conformità del paragrafo 4 del presente articolo, la durata di tale utilizzo e, se pertinente, le modalità con cui il trattamento dei dati personali risponderà alla necessità eccezionale; |
| d) | specifica, se possibile, quando si prevede che i dati siano cancellati da tutte le parti che vi hanno accesso; |
| e) | giustifica la scelta del titolare dei dati cui è rivolta la richiesta; |
| f) | specifica gli eventuali altri enti pubblici, o la Commissione, la Banca centrale europea o gli organismi_dell’Unione e i terzi con i quali si prevede che saranno condivisi i dati richiesti; |
| g) | qualora siano richiesti dati personali, specifica le misure tecniche e organizzative necessarie e proporzionate per attuare i principi di protezione dei dati e le garanzie necessarie, quali la pseudonimizzazione, come anche la possibilità o meno, per il titolare dei dati, di applicare l’anonimizzazione prima di mettere i dati a disposizione; |
| h) | indica la disposizione legislativa che attribuisce all’ ente_pubblico richiedente, alla Commissione, alla Banca centrale europea o all’organismo dell’Unione lo specifico compito svolto nell’interesse pubblico pertinente per la richiesta dei dati; |
| i) | specifica il termine entro il quale i dati devono essere messi a disposizione e il termine di cui all’articolo 18, paragrafo 2, entro il quale il titolare dei dati può rifiutare o chiedere la modifica della richiesta; |
| j) | si adopera al meglio per evitare che il soddisfacimento della richiesta di dati comporti la responsabilità del titolare dei dati per violazione del diritto dell’Unione o nazionale. |
2. Una richiesta di dati presentata a norma del paragrafo 1 del presente articolo:
| a) | è presentata per iscritto ed espressa in un linguaggio chiaro, conciso e semplice, comprensibile per il titolare dei dati; |
| b) | è specifica per quanto riguarda il tipo di dati richiesti e corrisponde ai dati su cui il titolare dei dati ha il controllo al momento della richiesta; |
| c) | è proporzionata alla necessità eccezionale e debitamente giustificata, per quanto riguarda la granularità e il volume dei dati richiesti e la frequenza di accesso ai dati richiesti; |
| d) | rispetta gli obiettivi legittimi del titolare dei dati, impegnandosi a rispettare la tutela dei segreti commerciali in conformità dell’articolo 19, paragrafo 3, e tenendo conto dei costi e degli sforzi necessari per mettere a disposizione i dati; |
| e) | riguarda dati non personali e, solo nel caso in cui sia dimostrato che ciò è insufficiente a rispondere alla necessità eccezionale di usare i dati, in conformità dell’articolo 15, paragrafo 1, lettera a), richiede dati personali in forma pseudominizzata e istituisce le misure tecniche e organizzative che saranno adottate per proteggere i dati; |
| f) | informa il titolare dei dati delle sanzioni che l’autorità competente designata ai sensi dell’articolo 37 impone a norma dell’articolo 40 in caso di mancato soddisfacimento della richiesta; |
| g) | qualora sia presentata da un ente_pubblico, è trasmessa al coordinatore dei dati, di cui all’articolo 37, dello Stato membro in cui è stabilito l’ ente_pubblico richiedente, che mette la richiesta a disposizione del pubblico online senza indebito ritardo, a meno che ritenga che tale pubblicazione costituirebbe un rischio per la sicurezza pubblica; |
| h) | qualora la richiesta sia presentata dalla Commissione, dalla Banca centrale europea e da un organismo dell’Unione è resa disponibile al pubblico online senza indebito ritardo; |
| i) | qualora siano richiesti dati personali, è notificata senza indebito ritardo all’autorità di controllo responsabile di sorvegliare l’applicazione del regolamento (UE) 2016/679 nello Stato membro in cui l’ ente_pubblico è stabilito. |
La Banca centrale europea e gli organismi_dell’Unione informano la Commissione delle loro richieste
3. Un ente_pubblico, la Commissione, la Banca centrale europea o un organismo dell’Unione non mette i dati ottenuti a norma del presente capo a disposizione per il riutilizzo ai sensi dell’articolo 2, punto 2), del regolamento (UE) 2022/868 o dell’articolo 2, punto 11), della direttiva (UE) 2019/1024. Il regolamento (UE) 2022/868 e la direttiva (UE) 2019/1024 non si applicano ai dati detenuti da enti pubblici ottenuti a norma del presente capo.
4. Il paragrafo 3 del presente articolo non preclude a un ente_pubblico, o alla Commissione, alla Banca centrale europea o a un organismo dell’Unione di scambiare i dati ottenuti a norma del presente capo con altri enti pubblici, la Commissione, la Banca centrale europea o un organismo dell’Unione al fine di svolgere i compiti di cui all’articolo 15, secondo quanto specificato nella richiesta a norma del paragrafo 1, lettera f ) del presente articolo, o di mettere i dati a disposizione di un terzo nei casi in cui abbia delegato a tale terzo, mediante un accordo accessibile al pubblico, ispezioni tecniche o altre funzioni. Gli obblighi incombenti agli enti pubblici a norma dell’articolo 19, in particolare le garanzie tese a preservare la riservatezza dei segreti commerciali, si applicano anche a detti terzi. Se trasmette o mette a disposizione dati a norma del presente paragrafo, un ente_pubblico o la Commissione, la Banca centrale europea o un organismo dell’Unione ne informa senza indebito ritardo il titolare dei dati che li ha trasmessi.
5. Se ritiene che i suoi diritti di cui al presente capo siano stati violati dalla trasmissione o dalla messa a disposizione dei dati, il titolare dei dati può presentare un reclamo all’autorità competente, designata ai sensi dell’articolo 37, dello Stato membro in cui è stabilito.
6. La Commissione elabora un modello per le richieste a norma del presente articolo.
Articolo 37
Autorità competenti e coordinatori dei dati
1. Ciascuno Stato membro designa una o più autorità competenti incaricate dell’applicazione e dell’esecuzione del presente regolamento (autorità competenti). Gli Stati membri possono istituire una o più nuove autorità o fare affidamento sulle autorità esistenti.
2. Qualora uno Stato membro designi più di un’autorità competente, tra di esse designa un coordinatore dei dati per facilitare la cooperazione tra le autorità competenti e per assistere le entità che rientrano nell’ambito di applicazione del presente regolamento su tutte le questioni relative alla sua applicazione ed esecuzione. Le autorità competenti, nell’esercizio dei compiti e dei poteri ad esse assegnati a norma del paragrafo 5, cooperano tra loro.
3. Le autorità di controllo incaricate di sorvegliare l’applicazione del regolamento (UE) 2016/679 sono incaricate di sorvegliare l’applicazione del presente regolamento per quanto riguarda la protezione dei dati personali. I capi VI e VII del regolamento (UE) 2016/679 si applicano mutatis mutandis.
Il Garante europeo della protezione dei dati è incaricato di monitorare l’applicazione del presente regolamento nella misura in cui riguarda la Commissione, la Banca centrale europea o gli organismi_dell’Unione. Ove pertinente, l’articolo 62 del regolamento (UE) 2018/1725 si applica mutatis mutandis.
I compiti e i poteri delle autorità di controllo di cui al presente paragrafo sono esercitati in relazione al trattamento dei dati personali.
4. Fatto salvo il paragrafo 1 del presente articolo:
| a) | per questioni specifiche concernenti l’accesso ai dati settoriali e il loro utilizzo relative all’attuazione del presente regolamento è rispettata la competenza delle autorità settoriali; |
| b) | l’autorità competente incaricata dell’applicazione e dell’esecuzione degli articoli da 23 a 31 e degli articoli 34 e 35 ha esperienza nel campo dei dati e dei servizi di comunicazioni elettroniche. |
5. Gli Stati membri provvedono affinché i compiti e poteri delle autorità competenti siano chiaramente definiti e comprendano:
| a) | la promozione dell’ alfabetizzazione_in_materia_di_ dati e la sensibilizzazione degli utenti e delle entità che rientrano nell’ambito di applicazione del presente regolamento in merito ai diritti e agli obblighi a norma del presente regolamento; |
| b) | il trattamento dei reclami derivanti da presunte violazioni del presente regolamento, anche in relazione a segreti commerciali, lo svolgimento di indagini, nella misura appropriata, sull’oggetto dei reclami e la periodica trasmissione di informazioni ai reclamanti, conformemente al diritto nazionale se del caso, in merito allo stato e all’esito delle indagini entro un termine ragionevole, in particolare ove siano necessari ulteriori indagini o il coordinamento con un’altra autorità competente; |
| c) | lo svolgimento di indagini su questioni relative all’applicazione del presente regolamento, anche sulla base di informazioni ricevute da un’altra autorità competente o da un’altra autorità pubblica; |
| d) | l’inflizione di sanzioni pecuniarie effettive, proporzionate e dissuasive che possono includere sanzioni periodiche e sanzioni con effetto retroattivo, o l’avvio di procedimenti giudiziari per l’inflizione di ammende; |
| e) | il monitoraggio degli sviluppi tecnologici e dei pertinenti sviluppi commerciali rilevanti per la messa a disposizione e l’utilizzo dei dati; |
| f) | la cooperazione con le autorità competenti di altri Stati membri e, ove opportuno, con la Commissione o l’EDIB per garantire l’applicazione coerente ed efficiente del presente regolamento, compreso lo scambio di tutte le informazioni pertinenti per via elettronica, senza indebito ritardo, anche per quanto riguarda il paragrafo 10 del presente articolo; |
| g) | la cooperazione con le autorità competenti pertinenti incaricate dell’attuazione di altri atti giuridici dell’Unione o nazionali, comprese le autorità competenti nel campo dei dati e dei servizi di comunicazioni elettroniche, l’autorità di controllo incaricata di sorvegliare l’applicazione del regolamento (UE) 2016/679 o le autorità settoriali, per garantire che il presente regolamento sia applicato coerentemente con il diritto dell’Unione e nazionale; |
| h) | la cooperazione con le autorità competenti pertinenti per garantire che gli articoli da 23 a 31 e gli articoli 34 e 35 siano applicati coerentemente con altro diritto dell’Unione e misure di autoregolamentazione applicabili ai fornitori di servizi di trattamento dei dati; |
| i) | la garanzia che le tariffe per il passaggio siano abolite conformemente all’articolo 29; |
| j) | l’esame delle richieste di dati presentate a norma del capo V. |
Laddove designato, il coordinatore dei dati facilita la cooperazione di cui alle lettere f), g) e h), del primo comma e assiste le autorità competenti su loro richiesta.
6. Il coordinatore dei dati, laddove tale autorità competenti sia stata designata:
| a) | funge da punto di contatto unico per tutte le questioni relative all’applicazione del presente regolamento; |
| b) | garantisce che le richieste di messa a disposizione dei dati presentate da enti pubblici in caso di eccezionale necessità a norma del capo V siano pubblicamente disponibili online e promuove accordi di condivisione dei dati volontari tra enti pubblici e titolari dei dati; |
| c) | informa la Commissione, su base annua, dei rifiuti notificati a norma dell’articolo 4, paragrafi 2 e 8, e dell’articolo 5, paragrafo 11. |
7. Gli Stati membri notificano alla Commissione i nomi delle autorità competenti designate e i compiti e poteri e, ove opportuno, il nome del coordinatore dei dati. La Commissione tiene un registro pubblico di tali autorità.
8. Nello svolgimento dei loro compiti e nell’esercizio dei loro poteri conformemente al presente regolamento, le autorità competenti rimangono imparziali, non subiscono alcuna influenza esterna, diretta o indiretta, e non sollecitano né accettano istruzioni, per singoli casi, da altre autorità pubbliche o da privati.
9. Gli Stati membri provvedono affinché le autorità competenti dispongano delle risorse umane e tecniche sufficienti e delle opportune competenze per svolgere efficacemente i propri compiti conformemente al presente regolamento.
10. Le entità che rientrano nell’ambito di applicazione del presente regolamento sono soggette alla competenza dello Stato membro nel quale sono stabilite. Laddove l’entità sia stabilita in più di uno Stato membro, è considerata soggetta alla competenza dello Stato membro in cui ha lo stabilimento principale, ossia dove ha la sua amministrazione centrale o la sua sede sociale da cui esercita le principali funzioni finanziarie e il controllo operativo.
11. Qualsiasi entità rientrante nell’ambito di applicazione del presente regolamento che renda disponibili prodotti connessi o offra servizi correlati nell’Unione e che non sia stabilita nell’Unione designa un rappresentante legale in uno degli Stati membri.
12. Al fine di garantire la conformità al presente regolamento, il rappresentante legale riceve da un’entità rientrante nell’ambito di applicazione del presente regolamento che rende disponibili prodotti connessi o offre servizi correlati nell’Unione il mandato di essere interpellato oltre all’entità stessa o al suo posto dalle autorità competenti per quanto riguarda tutte le questioni relative a tale entità. Il rappresentante legale collabora con le autorità competenti e, su richiesta, dimostra loro in modo esauriente le misure adottate e le disposizioni messe in atto dall’entità rientrante nell’ambito di applicazione del presente regolamento che rende disponibili prodotti connessi o offre servizi correlati nell’Unione per garantire la conformità al presente regolamento.
13. Un’entità rientrante nell’ambito di applicazione del presente regolamento che rende disponibili prodotti connessi o offre servizi correlati nell’Unione è considerata soggetta alla giurisdizione dello Stato membro in cui è situato il suo rappresentante legale. La designazione di un rappresentante legale a cura di tale entità fa salve la responsabilità e le eventuali azioni legali che potrebbero essere promosse contro di essa. Fino a quando l’entità non avrà designato un rappresentante legale a norma del presente articolo, essa sarà soggetta alla competenza di tutti gli Stati membri, se del caso, al fine di garantire l’applicazione ed esecuzione del presente regolamento. Qualsiasi autorità competente può esercitare la propria competenza, anche infliggendo sanzioni effettive, proporzionate e dissuasive, a condizione che l’entità non sia soggetta a procedimenti esecutivi a norma del presente regolamento in relazione agli stessi fatti da parte di un’altra autorità competente.
14. Le autorità competenti hanno il potere di chiedere agli utenti, ai titolari dei dati o ai destinatari dei dati, ovvero ai loro rappresentanti legali, soggetti alla competenza del loro Stato membro tutte le informazioni necessarie a verificare la conformità al presente regolamento. Le richieste di informazioni sono motivate e proporzionate rispetto all’assolvimento del compito di base.
15. Se un’autorità competente di uno Stato membro chiede misure di assistenza o di esecuzione a un’autorità competente di un altro Stato membro, essa presenta una richiesta motivata. Al ricevimento di tale richiesta, l’autorità competente fornisce una risposta in cui si precisano le azioni che sono state adottate o che si prevede di adottare, senza indebito ritardo.
16. Le autorità competenti rispettano il principio di riservatezza e del segreto professionale e commerciale e tutelano i dati personali ai sensi del diritto dell’Unione o nazionale. Tutte le informazioni scambiate nel quadro di una richiesta di assistenza e fornite a norma del presente articolo sono utilizzate solo in relazione alla questione per cui sono state richieste.
Articolo 39
Diritto a un ricorso giurisdizionale effettivo
1. Fatti salvi eventuali ricorsi amministrativi o altri ricorsi extragiudiziali, le persone fisiche e giuridiche interessate hanno diritto a un ricorso giurisdizionale effettivo per quanto riguarda le decisioni giuridicamente vincolanti adottate dalle autorità competenti.
2. Se un’autorità competente non dà seguito a un reclamo, le persone fisiche e giuridiche interessate, conformemente al diritto nazionale, hanno diritto a un ricorso giurisdizionale effettivo o hanno accesso al riesame da parte di un organo imparziale dotato delle competenze adeguate.
3. I procedimenti a norma del presente articolo sono presentati dinanzi agli organi giurisdizionali dello Stato membro dell’autorità competente contro cui è mosso il ricorso giurisdizionale individualmente o, se del caso, collettivamente dai rappresentanti di una o più persone fisiche o giuridiche.
Articolo 40
Sanzioni
1. Gli Stati membri stabiliscono le norme relative alle sanzioni da applicare in caso di violazione del presente regolamento e adottano tutte le misure necessarie per assicurarne l’applicazione. Le sanzioni previste devono essere effettive, proporzionate e dissuasive.
2. Gli Stati membri notificano tali norme e misure alla Commissione entro il 12 settembre 2025 e provvedono poi a dare immediata notifica delle eventuali modifiche successive. La Commissione tiene e aggiorna regolarmente un registro pubblico facilmente accessibile di tali misure.
3. Per l’inflizione delle sanzioni da applicare in caso di violazioni del presente regolamento, gli Stati membri tengono conto delle raccomandazioni dell’EDIB e dei criteri non esaustivi seguenti:
| a) | la natura, la gravità, l’entità e la durata della violazione; |
| b) | eventuali azioni intraprese dall’autore della violazione per attenuare il danno causato dalla violazione o porvi rimedio; |
| c) | eventuali violazioni commesse in precedenza dall’autore della violazione; |
| d) | i vantaggi finanziari ottenuti o le perdite evitate dall’autore della violazione in ragione della violazione, nella misura in cui tali vantaggi o perdite possano essere determinati in modo attendibile; |
| e) | eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso; |
| f) | il fatturato annuo nell’Unione nell’esercizio precedente dell’autore della violazione. |
4. Per l’inosservanza degli obblighi di cui ai capi II, III e V del presente regolamento, le autorità di controllo responsabili del controllo dell’applicazione del regolamento (UE) 2016/679 possono, nei limiti delle proprie competenze, infliggere sanzioni amministrative pecuniarie in conformità dell’articolo 83 del regolamento (UE) 2016/679 a concorrenza dell’importo di cui al paragrafo 5 del medesimo articolo.
5. Per l’inosservanza degli obblighi di cui al capo V del presente regolamento, il Garante europeo della protezione dei dati può, nei limiti delle proprie competenze, infliggere sanzioni amministrative pecuniarie conformemente all’articolo 66 del regolamento (UE) 2018/1725 a concorrenza dell’importo di cui al paragrafo 3 del medesimo articolo.
whereas