Data Act 2023/2854 IT

1. I prodotti connessi sono progettati e fabbricati e i servizi correlati sono progettati e forniti in modo tale che i dati dei prodotti e dei servizi correlati, compresi i pertinenti meta dati necessari a interpretare e utilizzare tali dati, siano, per impostazione predefinita, accessibili all’ utente in modo facile, sicuro, gratuito, in un formato completo, strutturato, di uso comune e leggibile da dispositivo automatico e, ove pertinente e tecnicamente possibile, in modo diretto.

2. Prima di concludere un contratto di acquisto, locazione o noleggio di un prodotto_connesso, il venditore, il locatore o il noleggiante, che può essere il fabbricante, fornisce all’ utente almeno le informazioni seguenti, in modo chiaro e comprensibile:

a)	il tipo, il formato e il volume stimato di dati del prodotto che il prodotto_connesso può generare;

b)	se il prodotto_connesso è in grado di generare dati in modo continuo e in tempo reale;

c)	se il prodotto_connesso è in grado di archiviare dati sul dispositivo o su un server remoto, compresa, se del caso, la durata prevista della conservazione;

d)	il modo in cui l’ utente può accedere a tali dati, reperirli o, se del caso, cancellarli, compresi i mezzi tecnici per farlo, nonché le condizioni d’uso e la qualità del servizio.

3. Prima di concludere un contratto di fornitura di un servizio_correlato, il fornitore di tale servizio_correlato fornisce all’ utente almeno le informazioni seguenti, in modo chiaro e comprensibile:

la natura, il volume stimato e la frequenza di raccolta dei dati del prodotto che il potenziale titolare dei dati dovrebbe ottenere e, se del caso, le modalità con cui l’ utente può accedere a tali dati o reperirli, comprese le modalità di archiviazione dei dati del potenziale titolare dei dati e la durata della loro conservazione;

b)	la natura e il volume stimato dei dati di un servizio_correlato che saranno generati, nonché le modalità con cui l’ utente può accedere a tali dati o reperirli, comprese le modalità di archiviazione dei dati del potenziale titolare dei dati e la durata della conservazione;

c)	se il potenziale titolare dei dati prevede di utilizzare esso stesso i dati prontamente disponibili e le finalità per le quali tali dati saranno utilizzati e se intende consentire a uno o più terzi di utilizzare i dati per le finalità concordate con l’ utente;

d)	l’identità del potenziale titolare dei dati, ad esempio il suo nome commerciale e l’indirizzo geografico al quale è stabilito e, se del caso, di altre parti coinvolte nel trattamento dei dati;

e)	i mezzi di comunicazione che consentono di contattare rapidamente il potenziale titolare dei dati e di comunicare efficacemente con quest’ultimo;

f)	il modo in cui l’ utente può chiedere che i dati siano condivisi con terzi e, se del caso, porre fine alla condivisione dei dati;

g)	il diritto dell’ utente di presentare un reclamo per violazione delle disposizioni del presente capo all’autorità competente designata a norma dell’articolo 37;

se un potenziale titolare dei dati è il detentore di segreti commerciali contenuti nei dati accessibili dal prodotto_connesso o generati nel corso della fornitura di un servizio_correlato e, qualora il potenziale titolare dei dati non sia il detentore di segreti commerciali, l’identità del detentore del segreto_commerciale;

i)	la durata del contratto tra l’ utente e il potenziale titolare dei dati, nonché le modalità per risolvere tale contratto.

Articolo 5

Diritto dell’ utente di condividere i dati con terzi

1. Su richiesta di un utente, o di una parte che agisce per conto di un utente, il titolare dei dati mette a disposizione di terzi i dati prontamente disponibili, nonché i pertinenti meta dati necessari a interpretare e utilizzare tali dati, senza indebito ritardo, con la stessa qualità di cui dispone il titolare dei dati, in modo facile, sicuro, a titolo gratuito per l’ utente, in un formato completo, strutturato, di uso comune e leggibile da dispositivo automatico e, ove pertinente e tecnicamente possibile, in modo continuo e in tempo reale. I dati sono messi a disposizione del terzo dal titolare dei dati in conformità degli articoli 8 e 9.

2. Il paragrafo 1 non si applica ai dati prontamente disponibili nel contesto del collaudo di nuovi prodotti connessi, sostanze o processi non ancora immessi sul mercato a meno che il loro utilizzo da parte di terzi non sia autorizzato contrattualmente.

3. Qualsiasi impresa designata come gatekeeper a norma dell’articolo 3 del regolamento (UE) 2022/1925 non è un terzo ammissibile ai sensi del presente articolo e pertanto:

a)	non sollecita né fornisce incentivi commerciali all’ utente in qualsiasi modo, anche fornendo compensi pecuniari o di altro tipo, affinché metta i dati a disposizione di uno dei suoi servizi che l’ utente ha ottenuto in seguito a una richiesta a norma dell’articolo 4, paragrafo 1;

b)	non sollecita né fornisce incentivi commerciali all’ utente affinché chieda al titolare dei dati di mettere i dati a disposizione di uno dei suoi servizi a norma del paragrafo 1 del presente articolo;

c)	non riceve dall’ utente dati che quest’ultimo ha ottenuto in seguito a una richiesta a norma dell’articolo 4, paragrafo 1.

4. Al fine di verificare se una persona fisica o giuridica si possa considerare un utente o un terzo ai fini del paragrafo 1, l’ utente o il terzo non è tenuto a fornire informazioni al di là di quanto necessario . I titolari dei dati non conservano informazioni sull’accesso del terzo ai dati richiesti al di là di quanto necessario per la corretta esecuzione della richiesta di accesso del terzo e per la sicurezza e la manutenzione dell’infrastruttura di dati.

5. Il terzo non utilizza mezzi coercitivi né abusa di lacune nell’infrastruttura tecnica di un titolare dei dati destinata a proteggere i dati al fine di ottenere l’accesso ai dati.

6. Un titolare dei dati non utilizza dati prontamente disponibili per ottenere informazioni sulla situazione economica, sulle risorse e sui metodi di produzione del terzo, o sull’utilizzo da parte di quest’ultimo in qualsiasi altro modo che potrebbe compromettere la posizione commerciale del terzo sui mercati in cui è attivo, a meno che quest’ultimo non abbia autorizzato tale uso e abbia la possibilità tecnica di revocare facilmente tale autorizzazione in qualsiasi momento.

7. Se l’ utente non è l’ interessato i cui dati personali sono richiesti, i dati personali generati dall’uso di un prodotto_connesso o di un servizio_correlato, sono messi a disposizione del terzo dal titolare dei dati solo se esiste una valida base giuridica per il trattamento a norma dell’articolo 6 del regolamento (UE) 2016/679 e, ove pertinente, se sono soddisfatte le condizioni di cui all’articolo 9 di detto regolamento e all’articolo 5, paragrafo 3, della direttiva 2002/58/CE.

8. La mancanza di accordo, da parte del titolare dei dati e del terzo, sulle modalità per la trasmissione dei dati non ostacola, impedisce o interferisce con l’esercizio dei diritti dell’ interessato a norma del regolamento (UE) 2016/679 e, in particolare, con il diritto alla portabilità dei dati di cui all’articolo 20 di tale regolamento.

9. I segreti commerciali sono conservati e comunicati a terzi solo nella misura in cui tale divulgazione è strettamente necessaria per conseguire la finalità concordata tra l’ utente e il terzo. Il titolare dei dati o, qualora non si tratti della stessa persona, il detentore del segreto_commerciale individua i dati protetti quali segreti commerciali, anche nei pertinenti meta dati, e concorda con il terzo le misure tecniche e organizzative proporzionate necessarie a preservare la riservatezza dei dati condivisi, quali clausole contrattuali tipo, accordi di riservatezza, protocolli di accesso rigorosi, norme tecniche e l’applicazione di codici di condotta.

10. In assenza di accordo sulle misure necessarie di cui al paragrafo 9 del presente articolo o qualora il terzo non attui le misure concordate ai sensi del paragrafo 9 del presente articolo o pregiudichi la riservatezza dei segreti commerciali, il titolare dei dati può bloccare o, se del caso, sospendere la condivisione dei dati identificati come segreti commerciali. La decisione del titolare dei dati è debitamente motivata e fornita al terzo per iscritto e senza indebito ritardo. In tali casi il titolare dei dati notifica all’autorità competente designata a norma dell’articolo 37 di aver bloccato o sospeso la condivisione dei dati e indica quali misure non sono state concordate o attuate e, se del caso, di quali segreti commerciali è stata pregiudicata la riservatezza.

11. In circostanze eccezionali, qualora il titolare dei dati che è detentore di un segreto_commerciale possa dimostrare che subirà molto probabilmente gravi danni economici a causa della divulgazione di segreti commerciali, malgrado le misure tecniche e organizzative adottate dal terzo di cui al paragrafo 9 del presente articolo, tale titolare dei dati può rifiutare di volta in volta una richiesta di accesso ai dati specifici in questione. Tale dimostrazione è debitamente motivata sulla base di elementi oggettivi, in particolare l’applicabilità della protezione dei segreti commerciali in paesi terzi, la natura e il livello di riservatezza dei dati richiesti nonché l’unicità e la novità del prodotto_connesso, ed è fornita per iscritto al terzo senza indebito ritardo. Qualora rifiuti di condividere i dati ai sensi del presente paragrafo, il titolare dei dati notifica l’autorità competente designata a norma dell’articolo 37.

12. Fatto salvo il diritto del terzo di presentare ricorso in qualsiasi momento dinanzi a un organo giurisdizionale di uno Stato membro, un terzo che intenda contestare la decisione del titolare dei dati di rifiutare, o di bloccare o sospendere la condivisione di dati a norma dei paragrafi 10 e 11 può:

a)	presentare, conformemente all’articolo 37, paragrafo 5, lettera b), un reclamo all’autorità competente che decide senza indebito ritardo se e a quali condizioni debba iniziare o riprendere la condivisione dei dati; o

b)	convenire con il titolare dei dati di deferire la questione a un organismo di risoluzione delle controversie in conformità dell’articolo 10, paragrafo 1.

13. Il diritto di cui al paragrafo 1 non deve ledere i diritti degli interessati a norma del diritto dell’Unione e nazionale applicabile in materia di protezione dei dati personali.

Articolo 6

Obblighi dei terzi che ricevono dati su richiesta dell’ utente

1. Un terzo tratta i dati messi a sua disposizione a norma dell’articolo 5 solo per le finalità e alle condizioni concordate con l’ utente e fatti salvi il diritto dell’Unione e nazionale in materia di protezione dei dati personali compresi i diritti dell’ interessato per quanto riguarda i dati personali. Il terzo cancella i dati quando non sono più necessari per la finalità concordata, salvo diverso accordo con l’ utente relativamente ai dati non personali.

2. Il terzo:

non rende indebitamente difficile l’esercizio da parte dell’ utente delle scelte o dei diritti a norma dell’articolo 5 e del presente articolo, magari offrendogli scelte in modo non neutrale, o ricorrendo a mezzi coercitivi, ingannevoli o manipolatori nei suoi confronti, o compromettendone o pregiudicandone l’autonomia, il processo decisionale o le scelte, anche mediante un’interfaccia utente digitale o una sua parte;

b)	fatto salvo l’articolo 22, paragrafo 2, lettere a) e c), del regolamento (UE) 2016/679, non utilizza i dati che riceve per la profilazione, a meno che ciò non sia necessario per fornire il servizio richiesto dall’ utente;

non mette a disposizione di altri terzi i dati che riceve, a meno che i dati siano messi a disposizione sulla base di un contratto con l’ utente e a condizione che l’altro terzo adotti tutte le misure necessarie concordate tra il titolare dei dati e il terzo per preservare la riservatezza dei segreti commerciali;

d)	non mette i dati che riceve a disposizione di un’ impresa designata come gatekeeper a norma dell’articolo 3 del regolamento (UE) 2022/1925;

non utilizza i dati che riceve per sviluppare un prodotto in concorrenza con il prodotto_connesso da cui provengono i dati consultati né condivide i dati con un altro terzo a tal fine; i terzi non utilizzano inoltre alcun dato non personale del prodotto o di un servizio_correlato messo a loro disposizione per ottenere informazioni sulla situazione economica, sulle risorse e sui metodi di produzione del titolare dei dati o sull’utilizzo da parte di quest’ultimo;

f)	non utilizza i dati che riceve in modo tale da avere un impatto negativo sulla sicurezza del prodotto_connesso o del servizio_correlato;

g)	non disattende le misure specifiche concordate con il titolare dei dati o con il detentore dei segreti commerciali a norma dell’articolo 5, paragrafo 9, né pregiudica la riservatezza dei segreti commerciali;

h)	non impedisce all’ utente che è anche consumatore, neanche in base a un contratto, di mettere i dati che riceve a disposizione di altre parti.

Articolo 7

Ambito di applicazione degli obblighi di condivisione dei dati da impresa a consumatore e da impresa a impresa

1. Gli obblighi di cui al presente capo non si applicano ai dati generati dall’uso di prodotti connessi fabbricati o progettati da una micro impresa o da una piccola impresa o di servizi correlati forniti dalle medesime, a condizione che tali imprese non abbiano un’ impresa associata o un’ impresa collegata, a norma dell’articolo 3 dell’allegato della raccomandazione 2003/361/EC, che non è qualificata come micro impresa o piccola impresa, e qualora alla micro impresa e alla piccola impresa siano affidate in subappalto la fabbricazione o la progettazione di un prodotto o la fornitura di un servizio_correlato.

Lo stesso si applica ai dati generati dall’uso di prodotti connessi fabbricati, o di servizi correlati forniti, da un’ impresa qualificata come media impresa ai sensi dell’articolo 2 dell’allegato della raccomandazione 2003/361/EC da meno di un anno e ai prodotti connessi per un anno dopo la data in cui sono stati immessi sul mercato da una media impresa.

2. Qualsiasi clausola contrattuale che, a danno dell’ utente, escluda l’applicazione dei diritti dell’ utente a norma del presente capo, deroghi agli stessi o ne modifichi gli effetti non è vincolante per l’ utente.

CAPO III

OBBLIGHI PER I TITOLARI DEI DATI TENUTI A METTERE A DISPOSIZIONE I DATI A NORMA DEL DIRITTO DELL’UNIONE

Articolo 9

Compenso per la messa a disposizione dei dati

1. Il compenso concordato tra il titolare dei dati e il destinatario dei dati per la messa a disposizione dei dati nelle relazioni tra imprese è non discriminatorio e ragionevole e può includere un margine.

2. Nel concordare il compenso, il titolare dei dati e il destinatario dei dati tengono conto in particolare:

a)	dei costi sostenuti per mettere a disposizione i dati, compresi in particolare i costi necessari per la formattazione dei dati, la diffusione per via elettronica e l’archiviazione;

b)	degli investimenti nella raccolta e nella produzione di dati, se applicabile, tenendo conto del fatto che altre parti abbiano contribuito o meno a ottenere, generare o raccogliere i dati in questione.

3. Il compenso di cui al paragrafo 1 può dipendere altresì dal volume, dal formato e dalla natura dei dati.

4. Se il destinatario dei dati è una PMI o un’organizzazione di ricerca senza fini di lucro e qualora tale destinatario dei dati non abbia imprese associate o collegate che non si qualificano come PMI, il compenso concordato non supera i costi di cui al paragrafo 2, lettera a).

5. La Commissione adotta orientamenti sul calcolo del compenso ragionevole, tenendo conto del parere del comitato europeo per l’innovazione in materia di dati (EDIB) di cui all’articolo 42.

6. Il presente articolo non osta a che altre normative dell’Unione o nazionali adottate in conformità del diritto dell’Unione escludano il compenso per la messa a disposizione dei dati o prevedano un compenso inferiore.

7. Il titolare dei dati fornisce al destinatario dei dati informazioni che definiscono la base per il calcolo del compenso in modo sufficientemente dettagliato da consentire al destinatario dei dati di valutare se sono soddisfatti i requisiti di cui ai paragrafi da 1 a 4.

Articolo 10

Risoluzione delle controversie

1. Gli utenti, i titolari dei dati e i destinatari dei dati hanno accesso a un organismo di risoluzione delle controversie, certificati in conformità al paragrafo 5 del presente articolo, per comporre le controversie ai sensi dell’articolo 4, paragrafi 3 e 9, e dell’articolo 5, paragrafo 12, nonché le controversie relative all’adempimento, da parte del titolare dei dati, dell’obbligo di mettere i dati a disposizione del destinatario dei dati, nonché a condizioni eque, ragionevoli e non discriminatori e a modalità trasparenti di messa a disposizione dei dati a norma del presente capo e del capo IV.

2. Gli organismi di risoluzione delle controversie rendono noti alle parti interessate le tariffe, o i meccanismi utilizzati per determinare tali tariffe, prima che le parti interessate richiedano una decisione.

3. In caso di controversie deferite a un organismo di risoluzione delle controversie di cui all’articolo 4, paragrafo 3, qualora l’organismo di risoluzione delle controverse risolva la controversia a favore dell’ utente o del destinatario dei dati, il titolare dei dati sostiene tutti i costi stabiliti dall’organismo di risoluzione delle controversie e rimborsa all’ utente o al destinatario dei dati tutte le altre spese ragionevoli da questi sostenute relativamente alla risoluzione della controversia. Qualora l’organismo di risoluzione delle controverse risolva la controversia a favore del titolare dei dati, l’ utente o il destinatario dei dati non è tenuto a rimborsare costi o altre spese che il titolare dei dati ha sostenuto o deve sostenere relativamente alla risoluzione della controversia, a meno che l’organismo di risoluzione delle controversie ritenga che l’ utente o il destinatario dei dati abbia agito manifestamente in malafede.

4. I clienti e i fornitori di servizi di trattamento dei dati hanno accesso a un organismo di risoluzione delle controversie, certificati in conformità del paragrafo 6 del presente articolo, per comporre le controversie relative a violazioni dei diritti dei clienti e degli obblighi dei fornitori di servizi di trattamento dei dati, in conformità degli articoli da 23 a 31.

5. Su richiesta dell’organismo di risoluzione delle controversie lo Stato membro in cui questi è stabilito certifica che l’organismo ha dimostrato di soddisfare tutte le condizioni seguenti:

a)	è imparziale e indipendente e adotterà le proprie decisioni conformemente a norme procedurali chiare, non discriminatorie ed eque;

b)	dispone delle competenze necessarie, in particolare in relazione a condizioni eque, ragionevoli e non discriminatori, compreso il compenso, e alla messa a disposizione dei dati in modo trasparente, che consentono all’organismo di determinare efficacemente tali condizioni;

c)	è facilmente accessibile attraverso le tecnologie di comunicazione elettronica;

d)	è in grado di adottare le proprie decisioni in modo rapido, efficiente ed efficace sotto il profilo dei costi in almeno una delle lingue ufficiali dell’Unione.

6. Gli Stati membri notificano alla Commissione gli organismi di risoluzione delle controversie certificati in conformità del paragrafo 5. La Commissione pubblica un elenco di tali organismi su un sito web dedicato e lo mantiene aggiornato.

7. Un organismo di risoluzione delle controversie rifiuta di dare seguito a una richiesta di risoluzione di una controversia già presentata dinanzi a un altro organismo di risoluzione delle controversie o dinanzi a un organo giurisdizionale di uno Stato membro.

8. Un organismo di risoluzione delle controversie concede alle parti la possibilità, entro un termine ragionevole, di esprimere il loro punto di vista sulle questioni che le parti hanno sottoposto a tale organismo. In tale contesto, ciascuna delle parti in causa trasmette alle parti le comunicazioni relative alla controversia presentate dall’altra parte e le eventuali dichiarazioni di esperti. Alle parti è data la possibilità di presentare osservazioni in merito a tali comunicazioni e dichiarazioni.

9. Un organismo di risoluzione delle controversie adotta la sua decisione su una questione sottopostagli entro 90 giorni dal ricevimento di una richiesta ai sensi dei paragrafi 1 e 4. Tale decisione è adottata per iscritto o su un supporto durevole ed è suffragata da una motivazione.

10. Gli organismi di risoluzione delle controversie redigono e rendono pubbliche le relazioni annuali di attività. Tali relazioni annuali contengono in particolare le informazioni generali seguenti:

a)	un’aggregazione dei risultati delle controversie;

b)	il tempo medio necessario per la risoluzione delle controversie;

c)	i motivi più comuni alla base delle controversie.

11. Al fine di agevolare lo scambio di informazioni e migliori prassi, un organismo pubblico di risoluzione delle controversie può decidere di includere raccomandazioni nella relazione di cui al paragrafo 10 su come evitare o risolvere problemi.

12. La decisione dell’organismo di risoluzione delle controversie è vincolante per le parti solo se le parti hanno esplicitamente acconsentito al suo carattere vincolante prima dell’avvio del procedimento di risoluzione delle controversie.

13. Il presente articolo non pregiudica il diritto delle parti a un ricorso effettivo dinanzi a un organo giurisdizionale di uno Stato membro.

Articolo 17

Richieste di messa a disposizione di dati

1. Se richiede dati a norma dell’articolo 14, un ente_pubblico, la Commissione, la Banca centrale europea o un organismo dell’Unione:

a)	specifica i dati richiesti, compresi i pertinenti meta dati necessari per interpretare e utilizzare tali dati;

b)	dimostra che sono soddisfatte le condizioni necessarie perché sussista una necessità eccezionale di cui all’articolo 15 al cui fine sono richiesti i dati;

spiega la finalità della richiesta, l’utilizzo previsto dei dati richiesti, compreso, se del caso, da parte di un terzo in conformità del paragrafo 4 del presente articolo, la durata di tale utilizzo e, se pertinente, le modalità con cui il trattamento dei dati personali risponderà alla necessità eccezionale;

d)	specifica, se possibile, quando si prevede che i dati siano cancellati da tutte le parti che vi hanno accesso;

e)	giustifica la scelta del titolare dei dati cui è rivolta la richiesta;

f)	specifica gli eventuali altri enti pubblici, o la Commissione, la Banca centrale europea o gli organismi_dell’Unione e i terzi con i quali si prevede che saranno condivisi i dati richiesti;

qualora siano richiesti dati personali, specifica le misure tecniche e organizzative necessarie e proporzionate per attuare i principi di protezione dei dati e le garanzie necessarie, quali la pseudonimizzazione, come anche la possibilità o meno, per il titolare dei dati, di applicare l’anonimizzazione prima di mettere i dati a disposizione;

h)	indica la disposizione legislativa che attribuisce all’ ente_pubblico richiedente, alla Commissione, alla Banca centrale europea o all’organismo dell’Unione lo specifico compito svolto nell’interesse pubblico pertinente per la richiesta dei dati;

i)	specifica il termine entro il quale i dati devono essere messi a disposizione e il termine di cui all’articolo 18, paragrafo 2, entro il quale il titolare dei dati può rifiutare o chiedere la modifica della richiesta;

j)	si adopera al meglio per evitare che il soddisfacimento della richiesta di dati comporti la responsabilità del titolare dei dati per violazione del diritto dell’Unione o nazionale.

2. Una richiesta di dati presentata a norma del paragrafo 1 del presente articolo:

a)	è presentata per iscritto ed espressa in un linguaggio chiaro, conciso e semplice, comprensibile per il titolare dei dati;

b)	è specifica per quanto riguarda il tipo di dati richiesti e corrisponde ai dati su cui il titolare dei dati ha il controllo al momento della richiesta;

c)	è proporzionata alla necessità eccezionale e debitamente giustificata, per quanto riguarda la granularità e il volume dei dati richiesti e la frequenza di accesso ai dati richiesti;

d)	rispetta gli obiettivi legittimi del titolare dei dati, impegnandosi a rispettare la tutela dei segreti commerciali in conformità dell’articolo 19, paragrafo 3, e tenendo conto dei costi e degli sforzi necessari per mettere a disposizione i dati;

riguarda dati non personali e, solo nel caso in cui sia dimostrato che ciò è insufficiente a rispondere alla necessità eccezionale di usare i dati, in conformità dell’articolo 15, paragrafo 1, lettera a), richiede dati personali in forma pseudominizzata e istituisce le misure tecniche e organizzative che saranno adottate per proteggere i dati;

f)	informa il titolare dei dati delle sanzioni che l’autorità competente designata ai sensi dell’articolo 37 impone a norma dell’articolo 40 in caso di mancato soddisfacimento della richiesta;

qualora sia presentata da un ente_pubblico, è trasmessa al coordinatore dei dati, di cui all’articolo 37, dello Stato membro in cui è stabilito l’ ente_pubblico richiedente, che mette la richiesta a disposizione del pubblico online senza indebito ritardo, a meno che ritenga che tale pubblicazione costituirebbe un rischio per la sicurezza pubblica;

h)	qualora la richiesta sia presentata dalla Commissione, dalla Banca centrale europea e da un organismo dell’Unione è resa disponibile al pubblico online senza indebito ritardo;

i)	qualora siano richiesti dati personali, è notificata senza indebito ritardo all’autorità di controllo responsabile di sorvegliare l’applicazione del regolamento (UE) 2016/679 nello Stato membro in cui l’ ente_pubblico è stabilito.

La Banca centrale europea e gli organismi_dell’Unione informano la Commissione delle loro richieste

3. Un ente_pubblico, la Commissione, la Banca centrale europea o un organismo dell’Unione non mette i dati ottenuti a norma del presente capo a disposizione per il riutilizzo ai sensi dell’articolo 2, punto 2), del regolamento (UE) 2022/868 o dell’articolo 2, punto 11), della direttiva (UE) 2019/1024. Il regolamento (UE) 2022/868 e la direttiva (UE) 2019/1024 non si applicano ai dati detenuti da enti pubblici ottenuti a norma del presente capo.

4. Il paragrafo 3 del presente articolo non preclude a un ente_pubblico, o alla Commissione, alla Banca centrale europea o a un organismo dell’Unione di scambiare i dati ottenuti a norma del presente capo con altri enti pubblici, la Commissione, la Banca centrale europea o un organismo dell’Unione al fine di svolgere i compiti di cui all’articolo 15, secondo quanto specificato nella richiesta a norma del paragrafo 1, lettera f ) del presente articolo, o di mettere i dati a disposizione di un terzo nei casi in cui abbia delegato a tale terzo, mediante un accordo accessibile al pubblico, ispezioni tecniche o altre funzioni. Gli obblighi incombenti agli enti pubblici a norma dell’articolo 19, in particolare le garanzie tese a preservare la riservatezza dei segreti commerciali, si applicano anche a detti terzi. Se trasmette o mette a disposizione dati a norma del presente paragrafo, un ente_pubblico o la Commissione, la Banca centrale europea o un organismo dell’Unione ne informa senza indebito ritardo il titolare dei dati che li ha trasmessi.

5. Se ritiene che i suoi diritti di cui al presente capo siano stati violati dalla trasmissione o dalla messa a disposizione dei dati, il titolare dei dati può presentare un reclamo all’autorità competente, designata ai sensi dell’articolo 37, dello Stato membro in cui è stabilito.

6. La Commissione elabora un modello per le richieste a norma del presente articolo.

Articolo 18

Soddisfacimento delle richieste di dati

1. Il titolare dei dati che riceve una richiesta di mettere i dati a disposizione a norma del presente capo mette i dati a disposizione dell’ ente_pubblico o della Commissione, della Banca centrale europea o di un organismo dell’Unione richiedente senza indebito ritardo, tenendo conto delle misure tecniche, organizzative e giuridiche necessarie.

2. Fatte salve le esigenze specifiche relative alla disponibilità dei dati definite nel diritto dell’Unione o nazionale, un titolare dei dati può rifiutare o chiedere la modifica di una richiesta di mettere i dati a disposizione ai sensi del presente capo senza indebito ritardo e, in ogni caso, entro cinque giorni lavorativi dal ricevimento di una richiesta di dati necessari per rispondere a un’ emergenza_pubblica e senza indebito ritardo e, in ogni caso, entro 30 giorni lavorativi dal ricevimento di tale richiesta in altri casi di necessità eccezionale, per uno dei motivi seguenti:

a)	il titolare dei dati non ha il controllo sui dati richiesti;

b)	un altro ente_pubblico, o la Commissione, la Banca centrale europea o un organismo dell’Unione ha presentato in precedenza una richiesta analoga per la stessa finalità e al titolare dei dati non è stata notificata la cancellazione dei dati a norma dell’articolo 19, paragrafo 1, lettera c);

c)	la richiesta non soddisfa le condizioni di cui all’articolo 17, paragrafi 1 e 2.

3. Se decide di rifiutare la richiesta o di chiederne la modifica a norma del paragrafo 2, lettera b), il titolare dei dati indica l’identità dell’ ente_pubblico o della Commissione, della Banca centrale europea o dell’organismo dell’Unione che ha presentato in precedenza una richiesta per la stessa finalità.

4. Se l’insieme di dati richiesto include dati personali, il titolare dei dati anonimizza adeguatamente i dati, a meno che il soddisfacimento della richiesta di mettere i dati a disposizione di un ente_pubblico, della Commissione, della Banca centrale europea o di un organismo dell’Unione imponga la divulgazione di dati personali. In tali casi il titolare dei dati pseudonimizza i dati .

5. Se l’ ente_pubblico, la Commissione, la Banca centrale europea o l’organismo dell’Unione intende contestare il rifiuto del titolare dei dati di fornire i dati richiesti o se il titolare dei dati intende contestare la richiesta e la questione non può essere risolta mediante opportuna modifica della stessa, la questione è sottoposta all’autorità competente, designata ai sensi dell’articolo 37, dello Stato membro in cui è stabilito il titolare dei dati.

Articolo 19

Obblighi degli enti pubblici, della Commissione, della Banca centrale europea e degli organismi_dell’Unione

1. Un ente_pubblico, la Commissione, la Banca centrale europea o un organismo dell’Unione che riceve dati in seguito a una richiesta presentata a norma dell’articolo 14:

a)	non utilizza i dati in modo incompatibile con la finalità per la quale sono stati richiesti;

b)	ha attuato misure tecniche e organizzative che preservino la riservatezza e l’integrità dei dati richiesti e la sicurezza dei trasferimenti dei dati, in particolare dei dati personali, e tutelino i diritti e le libertà degli interessati;

cancella i dati non appena non sono più necessari per la finalità indicata e informa il titolare dei dati e le persone o organizzazioni che hanno ricevuto i dati a norma dell’articolo 21, paragrafo 1, senza indebito ritardo dell’avvenuta cancellazione, a meno che l’archiviazione dei dati sia richiesta in conformità del diritto dell’Unione o nazionale in materia di accesso pubblico ai documenti nel contesto degli obblighi di trasparenza.

2. Un ente_pubblico, la Commissione, la Banca centrale europea, un organismo dell’Unione o un terzo che riceve dati a norma del presente capo:

non usa i dati o le informazioni sulla situazione economica, sulle risorse e sui metodi di produzione o di funzionamento del titolare dei dati per sviluppare o migliorare un prodotto_connesso o un servizio_correlato in concorrenza con il prodotto_connesso o il servizio_correlato del titolare dei dati;

b)	non condivide i dati con un altro terzo per uno degli scopi di cui alla lettera a).

3. La divulgazione di segreti commerciali a un ente_pubblico, alla Commissione, alla Banca centrale europea o a un organismo dell’Unione è obbligatoria solo nella misura strettamente necessaria per conseguire lo scopo di una richiesta a norma dell’articolo 15. In tali casi, il titolare dei dati o, qualora non si tratti della stessa persona, il detentore del segreto_commerciale individua i dati protetti quali segreti commerciali, compresi i pertinenti meta dati. L’ ente_pubblico, la Commissione, la Banca centrale europea o l’organismo dell’Unione adotta, prima della divulgazione di segreti commerciali, tutte le misure tecniche e organizzative necessarie e adeguate per preservare la riservatezza dei segreti commerciali, ivi compreso, se del caso, l’uso di clausole contrattuali tipo, norme tecniche e l’applicazione di codici di condotta.

4. Un ente_pubblico, la Commissione la Banca centrale europea o un organismo dell’Unione è responsabile della sicurezza dei dati che riceve.

Articolo 25

Clausole contrattuali relative al passaggio

1. I diritti del cliente e gli obblighi del fornitore di servizi di trattamento dei dati in relazione al passaggio da un fornitore di tali servizi a un altro o, se del caso, a un’ infrastruttura_TIC_locale sono chiaramente definiti in un contratto scritto. Il fornitore di servizi di trattamento dei dati mette il contratto a disposizione del cliente prima della firma del contratto in modo da consentire al cliente di conservare e riprodurre il contratto.

2. Fatta salva la direttiva (UE) 2019/770, il contratto di cui al paragrafo 1 del presente articolo comprende almeno i seguenti elementi:

clausole che autorizzano il cliente, su richiesta, a passare a un servizio di trattamento dei dati offerto da un diverso fornitore di servizi di trattamento dei dati o a trasferire tutti i dati, e le risorse_digitali esportabili in un’ infrastruttura_TIC_locale, senza indebito ritardo e in ogni caso non oltre un periodo transitorio massimo obbligatorio di 30 giorni di calendario da far partire dopo il termine massimo di preavviso di cui alla lettera d), durante il quale il contratto di servizio resta applicabile e il fornitore di servizi di trattamento dei dati:

i)	fornisce un’assistenza ragionevole al cliente e ai terzi da questi autorizzati nel processo di passaggio;

ii)	agisce con la diligenza dovuta per mantenere la continuità operativa e prosegue la fornitura delle funzioni o dei rispettivi servizi nell’ambito del contratto;

iii)	fornisce informazioni chiare sui rischi noti per la continuità della fornitura delle funzioni o dei servizi da parte del fornitore di servizi di trattamento dei dati di origine;

iv)

garantisce il mantenimento di un elevato livello di sicurezza durante l’intero processo di passaggio, in particolare la sicurezza dei dati durante il loro trasferimento e la continuità della sicurezza dei dati durante il periodo di conservazione di cui alla lettera g), in conformemente al diritto dell’Unione o nazionale applicabile;

b)	l’obbligo per il fornitore di servizi di trattamento dei dati di sostenere la strategia di uscita del cliente in relazione ai servizi a contratto, anche fornendo tutte le informazioni pertinenti;

una clausola in cui si specifica che il contratto si considera risolto e che la risoluzione è notificata al cliente in uno dei seguenti casi:

i)	ove applicabile, una volta completato con successo il processo di passaggio;

ii)	alla fine del termine massimo di preavviso di cui alla lettera d), nel caso in cui il cliente non desideri passare a un altro fornitore ma cancellare i suoi dati esportabili e le sue risorse_digitali al momento della cessazione del servizio;

d)	un termine massimo di preavviso per l’avvio del processo di passaggio, non superiore a due mesi;

e)	un’indicazione specifica dettagliata di tutte le categorie di dati e risorse_digitali che possono essere trasferite durante il processo di passaggio, compresi almeno tutti i dati esportabili;

un’indicazione specifica dettagliata delle categorie di dati specifiche al funzionamento interno dei servizi di trattamento dei dati del fornitore che devono essere esentate dai dati esportabili di cui alla lettera e) del presente paragrafo qualora esista un di rischio di violazione dei segreti commerciali del fornitore; a condizione che tali esenzioni non ostacolino o ritardino il processo di passaggio di cui all’articolo 23;

g)	un periodo minimo di almeno 30 giorni di calendario per il recupero dei dati, a decorrere dalla fine del periodo transitorio concordato tra il cliente e il fornitore di servizi di trattamento dei dati, conformemente alla lettera a) del presente paragrafo e al paragrafo 4;

una clausola che garantisce la completa cancellazione di tutti i dati e a risorse_digitali esportabili generati direttamente dal cliente, o che lo riguardano direttamente, dopo la scadenza del periodo di cui alla lettera g) o dopo la scadenza di un periodo alternativo concordato che sia successiva alla data di scadenza del periodo di conservazione di cui alla lettera g), a condizione che il processo di passaggio sia stato completato con successo;

i)	le tariffe di passaggio che possono essere imposte dai fornitori di servizi di trattamento dei dati a norma dell’articolo 29.

3. Il contratto, di cui al paragrafo 1, include le clausole in virtù delle quali il cliente può notificare al fornitore di servizi di trattamento dei dati la sua decisione di eseguire una o più delle azioni seguenti al termine del periodo di preavviso massimo, di cui al paragrafo 2, lettera d):

a)	passare a un diverso fornitore di servizi di trattamento dei dati, nel qual caso il cliente fornisce le informazioni necessarie su tale fornitore;

b)	passare a un’ infrastruttura_TIC_locale;

c)	cancellare i suoi dati esportabili e le sue risorse_digitali.

4. Se è tecnicamente impossibile attuare il periodo transitorio massimo obbligatorio di cui al paragrafo 2, lettera a), il fornitore di servizi di trattamento dei dati informa in merito il cliente entro 14 giorni lavorativi dalla presentazione della richiesta di passaggio, motiva debitamente l’impossibilità tecnica e indica un periodo transitorio alternativo, che non supera i sette mesi. In conformità del paragrafo 1, la continuità del servizio è garantita per tutto il periodo transitorio alternativo.

5. Fatto salvo il paragrafo 4, il contratto di cui al paragrafo 1, include clausole che conferiscono al cliente il diritto di prorogare il periodo transitorio una volta, per un periodo che il cliente considera più appropriato per i propri fini.

Articolo 30

Aspetti tecnici del passaggio

1. I fornitori di servizi di trattamento dei dati concernenti risorse informatiche scalabili ed elastiche limitate a elementi infrastrutturali quali server, reti e risorse virtuali necessarie per il funzionamento dell’infrastruttura, che non forniscono tuttavia accesso ad applicazioni, servizi e software operativi memorizzati, altrimenti trattati o installati su tali elementi infrastrutturali, adottano, conformemente all’articolo 27, tutte le misure ragionevoli in loro potere per far sì che il cliente, dopo il passaggio a un servizio che copre lo stesso_tipo_di_servizio, raggiunga l’ equivalenza_funzionale nell’utilizzo del servizio del trattamento dei dati di destinazione. Il fornitore di servizi di trattamento dei dati di origine agevola il processo di passaggio fornendo capacità, sufficienti informazioni, documentazione, assistenza tecnica e, se del caso, gli strumenti necessari.

2. I fornitori di servizi di trattamento dei dati, diversi da quelli di cui al paragrafo 1, rendono disponibili a titolo gratuito interfacce aperte in egual misura per tutti i loro clienti e i fornitori di servizi di destinazione interessati al fine di agevolare il processo di passaggio. Tali interfacce includono informazioni sufficienti sul servizio in questione onde permettere lo sviluppo di software per comunicare con i servizi, ai fini della portabilità e dell’ interoperabilità dei dati.

3. Per i servizi di trattamento dei dati diversi da quelli di cui al paragrafo 1 del presente articolo, i fornitori di servizi di trattamento dei dati garantiscono la compatibilità con specifiche_comuni basate sulle specifiche di interoperabilità aperte o norme armonizzate per l’ interoperabilità almeno 12 mesi dopo la pubblicazione dei riferimenti a tali specifiche_comuni o norme armonizzate per l’ interoperabilità di servizi di trattamento dei dati, nell’archivio centrale dell’Unione delle norme per l’ interoperabilità dei servizi di trattamento dei dati, a seguito della pubblicazione degli atti di esecuzione di base nella Gazzetta ufficiale dell’Unione europea, in conformità dell’articolo 35, paragrafo 7.

4. I fornitori di servizi di trattamento dei dati diversi da quelli di cui al paragrafo 1 del presente articolo aggiornano il registro online di cui all’articolo 26, lettera b), conformemente agli obblighi di cui al paragrafo 3 del presente articolo.

5. In caso di passaggio tra servizi dello stesso_tipo_di_servizio, per i quali le specifiche_comuni o le norme armonizzate per l’ interoperabilità di cui al paragrafo 3 del presente articolo non siano state pubblicate nell’archivio centrale dell’Unione delle norme per l’ interoperabilità dei servizi di trattamento dei dati a norma dell’articolo 35, paragrafo 8, il fornitore dei servizi di trattamento dei dati esporta, su richiesta del cliente, tutti i dati esportabili in un formato strutturato, di uso comune e leggibile da dispositivo automatico.

6. I fornitori di servizi di trattamento dei dati non sono tenuti a sviluppare nuove tecnologie o servizi, o a comunicare o trasferire risorse_digitali che sono protette da diritti di proprietà intellettuale o che costituiscono un segreto_commerciale, a un cliente o a un diverso fornitore di servizi di trattamento dei dati, né a compromettere la sicurezza e l’integrità del servizio del cliente o del fornitore.

Articolo 33

Requisiti essenziali in materia di interoperabilità dei dati, dei meccanismi e servizi di condivisione dei dati nonché degli spazi comuni europei di dati

1. Per facilitare l’ interoperabilità dei dati , dei meccanismi e servizi di condivisione dei dati nonché degli spazi comuni europei di dati, che costituiscono quadri interoperabili per scopi specifici, settoriali o intersettoriali di norme e prassi comuni per condividere o trattare congiuntamente i dati, anche per lo sviluppo di nuovi prodotti e servizi, della ricerca scientifica o di iniziative della società civile, i partecipanti agli spazi di dati che offrono dati o servizi di dati ad altri partecipanti rispettano i requisiti essenziali seguenti:

il contenuto degli insiemi di dati, le restrizioni all’uso, le licenze, la metodologia di raccolta dei dati e la qualità e l’incertezza dei dati sono descritti, se del caso in un formato leggibile da dispositivo automatico, in modo sufficiente a consentire al destinatario di trovare i dati, accedervi e utilizzarli;

b)	le strutture e i formati dei dati, i vocabolari, gli schemi di classificazione, le tassonomie e gli elenchi dei codici, se disponibili, sono descritti in modo accessibile al pubblico e coerente;

i mezzi tecnici per accedere ai dati, quali le interfacce di programmazione delle applicazioni (API), e le relative condizioni d’uso e di qualità del servizio sono descritti in modo sufficiente a consentire l’accesso automatico ai dati e la relativa trasmissione automatica tra le parti, anche in modo continuo, in download in blocco o in tempo reale, in un formato leggibile da dispositivo automatico, qualora tecnicamente fattibile e non di ostacolo al buon funzionamento del prodotto_connesso;

d)	se del caso, sono forniti i mezzi per consentire l’ interoperabilità degli strumenti concepiti per automatizzare l’esecuzione degli accordi di condivisione dei dati, ad esempio i contratti intelligenti.

Tali requisiti possono avere carattere generico o riguardare settori specifici, tenendo pienamente conto dell’interrelazione con i requisiti derivanti dal diritto dell’Unione o nazionale.

2. Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 45 per integrare il presente regolamento specificando ulteriormente i requisiti essenziali di cui al paragrafo 1 del presente articolo, in relazione ai requisiti che, per loro natura, non sono in grado di produrre l’effetto atteso a meno che non siano ulteriormente specificati in atti giuridici vincolanti dell’Unione e al fine di riflettere adeguatamente gli sviluppi tecnologici e di mercato.

La Commissione, quando adotta atti delegati, tiene conto dei pareri dell’EDIB conformemente all’articolo 42, lettera c), punto iii).

3. Si presume che i partecipanti agli spazi di dati che offrono dati o servizi di dati ad altri partecipanti agli spazi di dati che soddisfano le norme armonizzate o parti di esse, i cui riferimenti sono pubblicati nella Gazzetta ufficiale dell’Unione europea, siano conformi ai requisiti essenziali di cui al paragrafo 1 nella misura in cui tali requisiti sono contemplati da tali norme armonizzate o parti di esse.

4. Conformemente all’articolo 10 del regolamento (UE) n. 1025/2012, la Commissione chiede a una o più organizzazioni europee di normazione di elaborare norme armonizzate che soddisfino i requisiti essenziali di cui al paragrafo 1 del presente articolo.

5. La Commissione può adottare, mediante atti di esecuzione, specifiche_comuni che contemplino uno o tutti i requisiti essenziali di cui al paragrafo 1 laddove siano state soddisfatte le condizioni seguenti:

la Commissione ha chiesto, a norma dell’articolo 10, paragrafo 1, del regolamento (UE) n. 1025/2012, a una o più organizzazioni europee di normazione di elaborare una norma_armonizzata che soddisfi i requisiti essenziali di cui al paragrafo 1 del presente articolo e:

i)	la richiesta non è stata accettata;

ii)	le norme armonizzate che rispondono a tale richiesta non sono ultimati entro una determinata scadenza a norma dell’articolo 10, paragrafo 1, del regolamento (UE) n. 1025/2012; oppure

iii)	le norme armonizzate non sono conformi alla richiesta; e

nessun riferimento a norme armonizzate che contemplino i requisiti essenziali pertinenti di cui al paragrafo 1 del presente articolo è pubblicato nella Gazzetta ufficiale dell’Unione europea conformemente al regolamento (UE) n. 1025/2012 e non si prevede la pubblicazione di tale riferimento entro un termine ragionevole.

Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 46, paragrafo 2.

6. Prima di preparare un progetto di atto di esecuzione di cui al paragrafo 5 del presente articolo, la Commissione comunica al comitato di cui all’articolo 22 del regolamento (UE) n. 1025/2012 che ritiene soddisfatte le condizioni di cui al paragrafo 5 del presente articolo.

7. Nel preparare il progetto di atto di esecuzione di cui al paragrafo 5, la Commissione tiene conto dei pareri del EDIB e di altri organismi o gruppi di esperti pertinenti e consulta debitamente tutti i pertinenti portatori di interessi.

8. Si presume che i partecipanti agli spazi di dati che offrono dati o servizi di dati ad altri partecipanti agli spazi di dati che soddisfano le specifiche_comuni stabilite da atti di esecuzione di cui al paragrafo 5 o parti di essi siano conformi ai requisiti essenziali di cui al paragrafo 1 nella misura in cui tali requisiti sono contemplati da tali specifiche_comuni o parti di esse.

9. Qualora una norma_armonizzata sia adottata da un’organizzazione europea di normazione e proposta alla Commissione ai fini della pubblicazione del suo riferimento nella Gazzetta ufficiale dell’Unione europea, la Commissione valuta la norma_armonizzata conformemente al regolamento (UE) n. 1025/2012. Qualora il riferimento di una norma_armonizzata sia pubblicato nella Gazzetta ufficiale dell’Unione europea, la Commissione abroga gli atti di esecuzione di cui al paragrafo 5 del presente articolo o parti di essi, che riguardano gli stessi requisiti essenziali contemplati da tali norme armonizzate.

10. Qualora uno Stato membro ritenga che una specifica comune non soddisfi completamene i requisiti essenziali di cui al paragrafo 1, esso ne informa la Commissione presentando una spiegazione dettagliata. La Commissione valuta tale spiegazione dettagliata e, se del caso, può modificare l’atto di esecuzione che stabilisce la specifica comune in questione.

11. La Commissione può adottare orientamenti, tenendo conto della proposta dell’EDIB conformemente all’articolo 30, lettera h), del regolamento (UE) 2022/868, che stabiliscono quadri interoperabili di norme e prassi comuni per il funzionamento degli spazi comuni europei di dati.

Articolo 50

Entrata in vigore e applicazione

Il presente regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell’Unione europea.

Esso si applica a decorrere dal 12 settembre 2025.

L’obbligo derivante dall’articolo 3, paragrafo 1, si applica ai prodotti connessi e ai servizi correlati immessi sul mercato dopo il 12 settembre 2026.

Il capo III si applica solo in relazione agli obblighi di messa a disposizione dei dati a norma del diritto dell’Unione o della legislazione nazionale adottata in conformità del diritto dell’Unione, che entrano in vigore dopo il 12 settembre 2025.

Il capo IV si applica ai contratti conclusi dopo il 12 settembre 2025.

Il capo IV si applica a decorrere dal 12 settembre 2027 ai contratti conclusi il o anteriormente al 12 settembre 2025, a condizione che:

a)	siano a tempo indeterminato; o

b)	scadano almeno 10 anni dopo l’11 gennaio 2024.

Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.

Fatto a Strasburgo, il 13 dicembre 2023

Per il Parlamento europeo

La presidente

R. METSOLA

Per il Consiglio

Il presidente

P. NAVARRO RÍOS

(1) GU C 402 del 19.10.2022, pag. 5.

(2) GU C 365 del 23.9.2022, pag. 18.

(3) GU C 375 del 30.9.2022, pag. 112.

(4) Posizione del Parlamento europeo del 9 novembre 2023 (non ancora pubblicata nella Gazzetta ufficiale) e decisione del Consiglio del 27 novembre 2023.

(5) Raccomandazione 2003/361/CE della Commissione, del 6 maggio 2003, relativa alla definizione delle microimprese, piccole e medie imprese (GU L 124 del 20.5.2003, pag. 36).

(6) Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE («regolamento generale sulla protezione dei dati») (GU L 119 del 4.5.2016, pag. 1).

(7) Regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi_dell’Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE (GU L 295 del 21.11.2018, pag. 39).

(8) Direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche) (GU L 201 del 31.7.2002, pag. 37).

(9) Direttiva 93/13/CEE del Consiglio, del 5 aprile 1993, concernente le clausole abusive nei contratti stipulati con i consumatori (GU L 95 del 21.4.1993, pag. 29).

(10) Direttiva 2005/29/CE del Parlamento europeo e del Consiglio, dell’11 maggio 2005, relativa alle pratiche commerciali sleali tra imprese e consumatori nel mercato interno e che modifica la direttiva 84/450/CEE del Consiglio e le direttive 97/7/CE, 98/27/CE e 2002/65/CE del Parlamento europeo e del Consiglio e il regolamento (CE) n. 2006/2004 del Parlamento europeo e del Consiglio («direttiva sulle pratiche commerciali sleali») (GU L 149 dell’11.6.2005, pag. 22).

(11) Direttiva 2011/83/UE del Parlamento europeo e del Consiglio, del 25 ottobre 2011, sui diritti dei consumatori, recante modifica della direttiva 93/13/CEE del Consiglio e della direttiva 1999/44/CE del Parlamento europeo e del Consiglio e che abroga la direttiva 85/577/CEE del Consiglio e la direttiva 97/7/CE del Parlamento europeo e del Consiglio (GU L 304 del 22.11.2011, pag. 64).

(12) Regolamento (UE) 2021/784 del Parlamento europeo e del Consiglio, del 29 aprile 2021, relativo al contrasto della diffusione di contenuti terroristici online (GU L 172 del 17.5.2021, pag. 79).

(13) Regolamento (UE) 2022/2065 del Parlamento europeo e del Consiglio, del 19 ottobre 2022, relativo a un mercato unico dei servizi digitali e che modifica la direttiva 2000/31/CE (regolamento sui servizi digitali) (GU L 277 del 27.10.2022, pag. 1).

(14) Regolamento (UE) 2023/1543 del Parlamento europeo e del Consiglio, del 12 luglio 2023, relativo agli ordini europei di produzione e di conservazione di prove elettroniche nei procedimenti penali e per l’esecuzione di pene detentive a seguito di procedimenti penali (GU L 191 del 28.7.2023, pag. 118).

(15) Direttiva (UE) 2023/1544 del Parlamento europeo e del Consiglio, del 12 luglio 2023, recante norme armonizzate sulla designazione di stabilimenti designati e sulla nomina di rappresentanti legali ai fini dell’acquisizione di prove elettroniche nei procedimenti penali (GU L 191 del 28.7.2023, pag. 181).

(16) Regolamento (UE) 2015/847 del Parlamento europeo e del Consiglio, del 20 maggio 2015, riguardante i dati informativi che accompagnano i trasferimenti di fondi e che abroga il regolamento (CE) n. 1781/2006 (GU L 141 del 5.6.2015, pag. 1).

(17) Direttiva (UE) 2015/849 del Parlamento europeo e del Consiglio, del 20 maggio 2015, relativa alla prevenzione dell’uso del sistema finanziario a fini di riciclaggio o finanziamento del terrorismo, che modifica il regolamento (UE) n. 648/2012 del Parlamento europeo e del Consiglio e che abroga la direttiva 2005/60/CE del Parlamento europeo e del Consiglio e la direttiva 2006/70/CE della Commissione (GU L 141 del 5.6.2015, pag. 73).

(18) Direttiva (UE) 2019/882 del Parlamento europeo e del Consiglio, del 17 aprile 2019, sui requisiti di accessibilità dei prodotti e dei servizi (GU L 151 del 7.6.2019, pag. 70).

(19) Direttiva 2001/29/CE del Parlamento europeo e del Consiglio, del 22 maggio 2001, sull’armonizzazione di taluni aspetti del diritto d’autore e dei diritti connessi nella società dell’informazione (GU L 167 del 22.6.2001, pag. 10).

(20) Direttiva 2004/48/CE del Parlamento europeo e del Consiglio, del 29 aprile 2004, sul rispetto dei diritti di proprietà intellettuale (GU L 157 del 30.4.2004, pag. 45).

(21) Direttiva (UE) 2019/790 del Parlamento europeo e del Consiglio, del 17 aprile 2019, sul diritto d’autore e sui diritti connessi nel mercato unico digitale e che modifica le direttive 96/9/CE e 2001/29/CE (GU L 130 del 17.5.2019, pag. 92).

(22) Regolamento (UE) 2022/868 del Parlamento europeo e del Consiglio, del 30 maggio 2022, relativo alla governance europea dei dati e che modifica il regolamento (UE) 2018/1724 (regolamento sulla governance dei dati) (GU L 152 del 3.6.2022, pag. 1).

(23) Direttiva (UE) 2016/943 del Parlamento europeo e del Consiglio, dell’8 giugno 2016, sulla protezione del know-how riservato e delle informazioni commerciali riservate (segreti commerciali) contro l’acquisizione, l’utilizzo e la divulgazione illeciti (GU L 157 del 15.6.2016, pag. 1).

(24) Direttiva 98/6/CE del Parlamento europeo e del Consiglio, del 16 febbraio 1998, relativa alla protezione dei consumatori in materia di indicazione dei prezzi dei prodotti offerti ai consumatori (GU L 80 del 18.3.1998, pag. 27).

(25) Direttiva 2000/31/CE del Parlamento europeo e del Consiglio, dell’8 giugno 2000, relativa a taluni aspetti giuridici dei servizi della società dell’informazione, in particolare il commercio elettronico, nel mercato interno («direttiva sul commercio elettronico») (GU L 178 del 17.7.2000, pag. 1).

(26) Regolamento (UE) 2022/1925 del Parlamento europeo e del Consiglio, del 14 settembre 2022, relativo a mercati equi e contendibili nel settore digitale e che modifica le direttive (UE) 2019/1937 e (UE) 2020/1828 (regolamento sui mercati digitali) (GU L 265 del 12.10.2022, pag. 1).

(27) Regolamento (CE) n. 223/2009 del Parlamento europeo e del Consiglio, dell’11 marzo 2009, relativo alle statistiche europee e che abroga il regolamento (CE, Euratom) n. 1101/2008 del Parlamento europeo e del Consiglio, relativo alla trasmissione all’Istituto statistico delle Comunità europee di dati statistici protetti dal segreto, il regolamento (CE) n. 322/97 del Consiglio, relativo alle statistiche comunitarie, e la decisione 89/382/CEE, Euratom del Consiglio, che istituisce un comitato del programma statistico delle Comunità europee (GU L 87 del 31.3.2009, pag. 164).

(28) Direttiva (UE) 2019/1024 del Parlamento europeo e del Consiglio, del 20 giugno 2019, relativa all’apertura dei dati e al riutilizzo dell’informazione del settore pubblico (GU L 172 del 26.6.2019, pag. 56).

(29) Direttiva 96/9/CE del Parlamento europeo e del Consiglio, dell’11 marzo 1996, relativa alla tutela giuridica delle banche di dati (GU L 77 del 27.3.1996, pag. 20).

(30) Regolamento (UE) 2018/1807 del Parlamento europeo e del Consiglio, del 14 novembre 2018, relativo a un quadro applicabile alla libera circolazione dei dati non personali nell’Unione europea (GU L 303 del 28.11.2018, pag. 59).

(31) Direttiva (UE) 2019/770 del Parlamento europeo e del Consiglio, del 20 maggio 2019, relativa a determinati aspetti dei contratti di fornitura di contenuto digitale e di servizi digitali (GU L 136 del 22.5.2019, pag. 1).

(32) Regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativo alla resilienza operativa digitale per il settore finanziario e che modifica i regolamenti (CE) n. 1060/2009, (UE) n. 648/2012, (UE) n. 600/2014, (UE) n. 909/2014 e (UE) 2016/1011 (GU L 333 del 27.12.2022, pag. 1).

(33) Regolamento (UE) n. 1025/2012 del Parlamento europeo e del Consiglio, del 25 ottobre 2012, sulla normazione europea, che modifica le direttive 89/686/CEE e 93/15/CEE del Consiglio nonché le direttive 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE e 2009/105/CE del Parlamento europeo e del Consiglio e che abroga la decisione 87/95/CEE del Consiglio e la decisione n. 1673/2006/CE del Parlamento europeo e del Consiglio (GU L 316 del 14.11.2012, pag. 12).

(34) Regolamento (CE) n. 765/2008 del Parlamento europeo e del Consiglio, del 9 luglio 2008, che pone norme in materia di accreditamento che abroga il regolamento (CEE) n. 339/93 (GU L 218 del 13.8.2008, pag. 30).

(35) Decisione n. 768/2008/CE del Parlamento europeo e del Consiglio, del 9 luglio 2008, relativa a un quadro comune per la commercializzazione dei prodotti e che abroga la decisione 93/465/CEE (GU L 218 del 13.8.2008, pag. 82).

(36) Regolamento (UE) 2017/2394 del Parlamento europeo e del Consiglio, del 12 dicembre 2017, sulla cooperazione tra le autorità nazionali responsabili dell’esecuzione della normativa che tutela i consumatori e che abroga il regolamento (CE) n. 2006/2004 (GU L 345 del 27.12.2017, pag. 1).

(37) Direttiva (UE) 2020/1828 del Parlamento europeo e del Consiglio, del 25 novembre 2020, relativa alle azioni rappresentative a tutela degli interessi collettivi dei consumatori e che abroga la direttiva 2009/22/CE (GU L 409 del 4.12.2020, pag. 1).

(38) GU L 123 del 12.5.2016, pag. 1.

(39) Regolamento (UE) n. 182/2011 del Parlamento europeo e del Consiglio, del 16 febbraio 2011, che stabilisce le regole e i principi generali relativi alle modalità di controllo da parte degli Stati membri dell’esercizio delle competenze di esecuzione attribuite alla Commissione (GU L 55 del 28.2.2011, pag. 13).

ELI: http://data.europa.eu/eli/reg/2023/2854/oj

ISSN 1977-0707 (electronic edition)

whereas

keyboard_tab Data Act 2023/2854 IT

Data Act 2023/2854 IT