Data Act 2023/2854 IT

1)	« dati»: qualsiasi rappresentazione digitale di atti, fatti o informazioni e qualsiasi raccolta di tali atti, fatti o informazioni, anche sotto forma di registrazione sonora, visiva o audiovisiva;

2)	«meta dati»: una descrizione strutturata del contenuto o dell’uso dei dati che agevola la ricerca o l’utilizzo di tali dati;

3)	« dati personali»: i dati personali quali definiti all’articolo 4, punto 1, del regolamento (UE) 2016/679;

4)	« dati non personali»: i dati diversi dai dati personali;

« prodotto_connesso»: un bene che ottiene, genera o raccoglie dati relativi al suo utilizzo o al suo ambiente e che è in grado di comunicare dati del prodotto tramite un servizio di comunicazione elettronica, una connessione fisica o l’accesso su dispositivo, e la cui funzione primaria non è l’archiviazione, il trattamento o la trasmissione dei dati per conto di una parte diversa dall’ utente;

« servizio_correlato»: un servizio digitale diverso da un servizio di comunicazione elettronica, anche software, connesso con il prodotto al momento dell’acquisto, della locazione o del noleggio in modo tale che la sua assenza impedirebbe al prodotto_connesso di svolgere una o più delle sue funzioni o che è successivamente connesso al prodotto dal fabbricante o da un terzo al fine di ampliare, aggiornare o adattare le funzioni del prodotto_connesso;

« trattamento»: qualsiasi operazione o insieme di operazioni compiute su dati o insiemi di dati, con o senza l’ausilio di strumenti automatizzati, come la raccolta, la registrazione, l’organizzazione, la strutturazione, l’archiviazione, l’adattamento o la modifica, il reperimento, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o altra forma di messa a disposizione, l’allineamento o l’interconnessione, la limitazione, la cancellazione o la distruzione;

«servizio di trattamento dei dati»: un servizio digitale fornito a un cliente e che consente l’accesso di rete universale e su richiesta a un pool condiviso di risorse informatiche configurabili, scalabili ed elastiche di natura centralizzata, distribuita o altamente distribuita e che può essere rapidamente erogato e rilasciato con un minimo sforzo di gestione o interazione con il fornitore di servizi;

9)	« stesso_tipo_di_servizio»: un insieme di servizi di trattamento dei dati che condividono lo stesso obiettivo primario, lo stesso modello di servizio di trattamento dei dati e le principali funzionalità;

10)	«servizio di intermediazione dei dati»: un servizio di intermediazione dei dati quale definito all’articolo 2, punto 11, del regolamento (UE) 2022/868;

11)	« interessato»: l’ interessato di cui all’articolo 4, punto 1, del regolamento (UE) 2016/679;

12)	« utente»: una persona fisica o giuridica che possiede un prodotto_connesso o a cui sono stati trasferiti contrattualmente diritti temporanei di utilizzo di tale prodotto_connesso o che riceve un servizio_correlato;

13)

«titolare dei dati»: una persona fisica o giuridica che ha il diritto o l’obbligo, conformemente al presente regolamento, al diritto applicabile dell’Unione o alla legislazione nazionale adottata conformemente al diritto dell’Unione, di utilizzare e mettere a disposizione dati, compresi, se concordato contrattualmente, dati del prodotto o di un servizio_correlato che ha reperito o generato nel corso della fornitura di un servizio_correlato;

14)

«destinatario dei dati»: una persona fisica o giuridica, che agisce per fini connessi alla sua attività commerciale, imprenditoriale, artigianale o professionale, diversa dall’ utente di un prodotto_connesso o di un servizio_correlato, a disposizione della quale il titolare dei dati mette i dati, e che può essere un terzo in seguito a una richiesta da parte dell’ utente al titolare dei dati o conformemente a un obbligo giuridico ai sensi del diritto dell’Unione o della legislazione nazionale adottata conformemente al diritto dell’Unione;

15)

« dati del prodotto»: dati generati dall’uso di un prodotto_connesso e progettati dal fabbricante in modo tale che un utente, un titolare dei dati o un terzo, compreso se del caso il fabbricante, possano reperirli tramite un servizio di comunicazione elettronica, una connessione fisica o l’accesso su dispositivo;

16)

« dati di un servizio_correlato»: dati che rappresentano la digitalizzazione delle azioni o degli eventi degli utenti relativi al prodotto_connesso, registrati intenzionalmente dall’ utente o generati come sottoprodotto dell’azione dell’ utente durante la fornitura di un servizio_correlato da parte del fornitore;

17)	« dati prontamente disponibili»: dati del prodotto e dati di un servizio_correlato che un titolare dei dati ottiene o può ottenere legittimamente dal prodotto_connesso o dal servizio_correlato senza che ciò implichi uno sforzo sproporzionato che vada al di là di una semplice operazione;

18)	« segreto_commerciale»: un segreto_commerciale quale definito all’articolo 2, punto 1, della direttiva (UE) 2016/943;

19)	«detentore del segreto_commerciale»: un detentore del segreto_commerciale quale definito all’articolo 2, punto 2, della direttiva (UE) 2016/943;

20)	« profilazione»: la profilazione quale definita all’articolo 4, punto 4, del regolamento (UE) 2016/679;

21)	« messa_a_disposizione_sul_mercato»: la fornitura di un prodotto_connesso per la distribuzione, il consumo o l’uso sul mercato dell’Unione nel corso di un’attività commerciale, a titolo oneroso o gratuito;

22)	« immissione_sul_mercato»: la prima messa a disposizione di un prodotto_connesso sul mercato dell’Unione;

23)	« consumatore»: qualsiasi persona fisica che agisce per scopi estranei alla propria attività commerciale, imprenditoriale, artigianale o professionale;

24)	« impresa»: una persona fisica o giuridica che, in relazione ai contratti e alle pratiche di cui al presente regolamento, agisce per fini connessi alla propria attività commerciale, imprenditoriale, artigianale o professionale;

25)	«piccola impresa» una piccola impresa quale definita all’articolo 2, paragrafo 2, dell’allegato della raccomandazione 2003/361/CE;

26)	«micro impresa»: una micro impresa quale definita all’articolo 2, paragrafo 3, dell’allegato della raccomandazione 2003/361/CE;

27)	« organismi_dell’Unione»: organi e organismi_dell’Unione istituiti da atti adottati sulla base del trattato sull’Unione europea, del TFUE o del trattato che istituisce la comunità europea dell’energia atomica o ai sensi di tali atti;

28)	« ente_pubblico»: le autorità nazionali, regionali o locali degli Stati membri e gli organismi di diritto pubblico degli Stati membri o le associazioni formate da una o più di tali autorità oppure da uno o più di tali organismi;

29)

« emergenza_pubblica»: una situazione eccezionale, limitata nel tempo, come un’emergenza di sanità pubblica, un’emergenza derivante da calamità naturali, una grave catastrofe di origine antropica, compreso un grave incidente di cibersicurezza, che incide negativamente sulla popolazione dell’Unione o su tutto o parte di uno Stato membro, con il rischio di ripercussioni gravi e durature sulle condizioni di vita o sulla stabilità economica, sulla stabilità finanziaria, o di un sostanziale e immediato degrado delle risorse economiche nell’Unione o nello Stato membro o negli Stati membri interessati e che è determinata o dichiarata ufficialmente in conformità delle pertinenti procedure previste dal diritto dell’Unione o nazionale;

30)	« cliente»: una persona fisica o giuridica che ha instaurato un rapporto contrattuale con un fornitore di servizi di trattamento dei dati con l’obiettivo di utilizzare uno o più servizi di trattamento dei dati;

31)	« assistenti_virtuali»: software che può elaborare richieste, compiti o domande, compresi quelli basati su input sonori o scritti, gesti o movimenti, e che, sulla base di tali richieste, compiti o domande, fornisce accesso ad altri servizi o controlla le funzioni dei prodotti connessi;

32)	« risorse_digitali»: elementi in formato digitale, comprese le applicazioni, relativamente ai quali il cliente ha il diritto d’uso, indipendentemente dal rapporto contrattuale con il servizio di trattamento dei dati che intende abbandonare per passare a un altro;

33)	« infrastruttura_TIC_locale»: un’infrastruttura TIC e risorse informatiche possedute dal cliente, o da questi prese in locazione o noleggiate, situate nel centro dati del cliente stesso e operate dal cliente o da un terzo;

34)

« passaggio»: il processo che coinvolge un fornitore di servizi di trattamento dei dati di origine, un cliente di un servizio di trattamento dei dati e, ove pertinente, un fornitore di servizi di trattamento dei dati di destinazione, nel quale il cliente del servizio di trattamento dei dati passa dall’utilizzo di un servizio di trattamento dei dati all’utilizzo di un altro servizio di trattamento dei dati appartenente allo stesso_tipo_di_servizio, o un altro servizio, offerto da un diverso fornitore di servizi di trattamento dei dati, o a una infrastruttura_TIC_locale, anche mediante l’estrazione, la trasformazione e il caricamento dei dati;

35)	«tariffe di uscita dei dati»: le tariffe di trasferimento dei dati addebitate ai clienti per l’estrazione dei loro dati attraverso la rete dall’infrastruttura TIC di un fornitore di servizi di trattamento dei dati e l’invio ai sistemi di un diverso fornitore o a infrastrutture TIC locali;

36)

«tariffe di passaggio»: le tariffe diverse dalle spese standard di servizio o di risoluzione anticipata, imposte da un fornitore di servizi di trattamento dei dati a un cliente per le azioni imposte dal presente regolamento in caso di passaggio ai sistemi di un diverso fornitore o all’ infrastruttura_TIC_locale, comprese le tariffe di uscita dei dati;

37)

« equivalenza_funzionale»: il ripristino, sulla base dei dati esportabili e delle risorse_digitali del cliente, di un livello minimo di funzionalità nell’ambiente di un nuovo servizio di trattamento dei dati dello stesso_tipo_di_servizio dopo il processo di passaggio, laddove il servizio del trattamento dei dati di destinazione fornisce risultati sostanzialmente comparabili in risposta al medesimo input per le caratteristiche condivise fornite al cliente in virtù del contratto;

38)

« dati esportabili»: ai fini degli articoli da 23 a 31 e dell’articolo 35, i dati di ingresso e uscita, inclusi i meta dati, direttamente o indirettamente generati o cogenerati dall’utilizzo del servizio di trattamento dei dati da parte del cliente, a esclusione di risorse o dati protetti da diritti di proprietà intellettuale, o che costituiscono segreti commerciali, di fornitori di servizi di trattamento dei dati o di terzi;

39)	« contratto_intelligente»: un programma informatico utilizzato per l’esecuzione automatica di un accordo o di parte di esso utilizzando una sequenza di registrazioni elettroniche di dati e garantendone l’integrità e l’accuratezza del loro ordine cronologico;

40)	« interoperabilità»: la capacità di due o più spazi di dati o reti di comunicazione, sistemi, prodotti connessi, applicazioni, servizi di trattamento di dati o componenti di scambiare e utilizzare dati per svolgere le loro funzioni;

41)	«specifica di interoperabilità aperta»: una specifica tecnica delle tecnologie dell’informazione e della comunicazione, orientate alle prestazioni ai fini del conseguimento dell’ interoperabilità tra i servizi di trattamento dei dati;

42)	« specifiche_comuni»: un documento, diverso da una norma, contenente soluzioni tecniche che forniscono i mezzi per soddisfare determinati requisiti e obblighi stabiliti a norma del presente regolamento;

43)	« norma_armonizzata»: una norma_armonizzata, quale definita all’articolo 2, punto 1, lettera c), del regolamento (UE) n. 1025/2012.

CAPO II

CONDIVISIONE DEI DATI DA IMPRESA A CONSUMATORE E DA IMPRESA A IMPRESA

Articolo 11

Misure tecniche di protezione relative all’uso non autorizzato o alla divulgazione dei dati

1. Un titolare dei dati può applicare adeguate misure tecniche di protezione, compresi i contratti intelligenti e la cifratura, per impedire l’accesso non autorizzato ai dati, meta dati compresi, e garantire il rispetto degli articoli 4, 5, 6, 8 e 9, nonché delle clausole contrattuali concordate per la messa a disposizione dei dati. Tali misure tecniche di protezione non creano discriminazioni tra i destinatari dei dati né ostacolano il diritto dell’ utente di ottenere una copia, reperire, utilizzare o accedere ai dati o fornire dati a terzi a norma dell’articolo 5 o qualsiasi diritto di terzi a norma del diritto dell’Unione o della legislazione nazionale adottata ai sensi del diritto dell’Unione. Gli utenti, i terzi e altri destinatari dei dati non modificano né rimuovono dette misure tecniche di protezione, salvo accordo con il titolare dei dati.

2. Nelle circostanze di cui al paragrafo 3, il terzo o il destinatario dei dati adempie, senza indebito ritardo, alle richieste del titolare dei dati e, se del caso e qualora non si tratti della stessa persona, del detentore del segreto_commerciale, oppure dell’ utente di:

a)	cancellare i dati messi a disposizione dal titolare dei dati e le loro eventuali copie;

porre fine alla produzione, all’offerta o all’ immissione_sul_mercato o all’uso di beni, dati derivati o servizi prodotti sulla base delle conoscenze ottenute mediante tali dati, o all’importazione, all’esportazione o allo stoccaggio di merci costituenti violazione a tali fini, e a distruggere le merci costituenti violazione, qualora sussista un grave rischio che l’uso illecito di tali dati causi un danno significativo al titolare dei dati, al detentore del segreto_commerciale o all’ utente oppure qualora una tale misura non sarebbe sproporzionata rispetto agli interessi del titolare dei dati, del detentore del segreto_commerciale o dell’ utente;

c)	informare l’ utente dell’uso o della divulgazione non autorizzati dei dati e delle misure adottate per porre fine all’uso o alla divulgazione non autorizzati dei dati;

d)	compensare la parte lesa dall’uso improprio o dalla divulgazione di tali dati utilizzati o cui si ha avuto accesso in modo illecito.

3. Il paragrafo 2 si applica qualora un terzo o un destinatario dei dati :

a)	al fine di ottenere dati , abbia fornito a un titolare dei dati informazioni false, ha impiegato mezzi ingannevoli o coercitivi o ha abusato di lacune nell’infrastruttura tecnica del titolare dei dati destinata a proteggere i dati;

b)	abbia utilizzato i dati messi a disposizione per scopi non autorizzati, compreso lo sviluppo di un prodotto_connesso concorrente ai sensi dell’articolo 6, paragrafo 2, lettera e);

c)	abbia comunicato illecitamente i dati a terzi;

d)	non abbia mantenuto le misure tecniche e organizzative concordate a norma dell’articolo 5, paragrafo 9; o

e)	abbia modificato o rimosso le misure tecniche di protezioni applicate dal titolare dei dati, in conformità del paragrafo 1 del presente articolo, senza l’accordo del titolare dei dati.

4. Il paragrafo 2 si applica altresì qualora un utente modifichi o rimuova le misure tecniche di protezione applicate dal titolare dei dati oppure non mantenga le misure tecniche e organizzative adottate dall’ utente in accordo con il titolare dei dati o, qualora non si tratti della stessa persona, con il detentore del segreto_commerciale al fine di preservare i segreti commerciali, nonché riguardo a qualsiasi terzo che riceva i dati dall’ utente mediante una procedura d’infrazione del presente regolamento.

5. Qualora il destinatario dei dati violi l’articolo 6, paragrafo 2, lettere a) e b), gli utenti hanno gli stessi diritti dei titolari dei dati a norma del presente articolo.

Articolo 13

Clausole contrattuali abusive imposte unilateralmente a un’altra impresa

1. Una clausola contrattuale riguardante l’accesso ai dati e il relativo utilizzo o la responsabilità e i mezzi di ricorso per la violazione o la cessazione degli obblighi relativi ai dati che è stata imposta unilateralmente da un’ impresa a un’altra impresa non è vincolante per quest’ultima impresa se tale clausola è abusiva.

2. Una clausola contrattuale che riproduce le disposizioni obbligatorie del diritto dell’Unione, oppure le disposizioni del diritto dell’Unione che si applicherebbero se le clausole contrattuali non disciplinassero la materia, non è ritenuta abusiva.

3. Una clausola contrattuale è abusiva se è di natura tale che il suo utilizzo si discosta considerevolmente dalle buone prassi commerciali in materia di accesso ai dati e relativo utilizzo, in contrasto con il principio di buona fede e correttezza.

4. In particolare, una clausola contrattuale è abusiva ai fini del paragrafo 3 se ha per oggetto o effetto di:

a)	escludere o limitare la responsabilità della parte che ha imposto unilateralmente la clausola in caso di atti intenzionali o negligenza grave;

b)	escludere i mezzi di ricorso a disposizione della parte alla quale la clausola è stata imposta unilateralmente in caso di inadempimento degli obblighi contrattuali o la responsabilità della parte che ha imposto unilateralmente la clausola in caso di violazione di tali obblighi;

c)	conferire alla parte che ha imposto unilateralmente la clausola il diritto esclusivo di determinare se i dati forniti sono conformi al contratto o di interpretare una qualsiasi clausola del contratto.

5. Si presume che una clausola contrattuale sia abusiva ai fini del paragrafo 3 se ha per oggetto o effetto di:

a)	limitare in modo inappropriato i mezzi di ricorso in caso di inadempimento degli obblighi contrattuali o la responsabilità in caso di violazione di tali obblighi, oppure estendere la responsabilità dell’ impresa cui è stata imposta unilateralmente la clausola;

consentire alla parte che ha imposto unilateralmente la clausola di accedere ai dati dell’altra parte contraente e di utilizzarli in modo tale da nuocere significativamente ai legittimi interessi dell’altra parte contraente, in particolare quando tali dati contengano dati sensibili sotto il profilo commerciale o sono protetti da segreti commerciali o da diritti di proprietà intellettuale;

impedire alla parte alla quale è stata imposta unilateralmente la clausola di utilizzare i dati che tale parte ha fornito o generato durante il periodo del contratto, o limitare l’utilizzo di tali dati in misura tale da privare tale parte del diritto di utilizzare, acquisire o controllare tali dati, di accedervi o di sfruttarne il valore in modo adeguato;

d)	impedire alla parte alla quale è stata imposta unilateralmente la clausola di recedere dall’accordo entro un termine ragionevole;

e)	impedire alla parte alla quale è stata imposta unilateralmente la clausola di ottenere una copia dei dati che tale parte ha fornito o generato durante il periodo del contratto o entro un termine ragionevole dopo la risoluzione dello stesso;

consentire alla parte che ha imposto unilateralmente la clausola di risolvere il contratto con un preavviso irragionevolmente breve, tenendo conto di qualsiasi ragionevole possibilità dell’altra parte contraente di passare a un servizio alternativo e comparabile e del danno finanziario causato da tale risoluzione, salvo quando sussistano gravi motivi;

consentire alla parte che ha imposto unilateralmente la clausola di modificare sostanzialmente il prezzo specificato nel contratto o qualsiasi altra condizione sostanziale relativa alla natura, al formato, alla qualità o alla quantità dei dati da condividere, qualora non sia specificato nel contratto alcun motivo valido e alcun diritto dell’altra parte di risolvere il contratto nel caso di una tale modifica.

La lettera g) del primo comma non pregiudica le clausole con le quali la parte che ha imposto unilateralmente la clausola si riserva il diritto di modificare unilateralmente le clausole di un contratto a durata indeterminata, a condizione che il contratto specifichi un motivo valido per tali modifiche unilaterali, che la parte che ha imposto unilateralmente la clausola sia tenuta ad avvisare l’altra parte contraente con un preavviso ragionevole di ogni modifica prevista, e che l’altra parte contraente sia libera di risolvere il contratto senza incorrere in alcun costo nel caso di una modifica.

6. Si considera imposta unilateralmente ai sensi del presente articolo la clausola stata inserita da una parte contraente senza che l’altra parte sia stata in grado di influenzarne il contenuto malgrado un tentativo di negoziarla. La parte contraente che ha inserito la clausola contrattuale ha l’onere di provare che tale clausola non è stata imposta unilateralmente. La parte contraente che ha inserito la clausola contrattuale controversa non può invocare il carattere abusivo della clausola contrattuale.

7. Se la clausola contrattuale abusiva è scindibile dalle altre clausole contrattuali, le clausole rimanenti hanno carattere vincolante.

8. Il presente articolo non si applica alle clausole contrattuali che definiscono l’oggetto principale del contratto né all’adeguatezza del prezzo rispetto ai dati forniti in cambio.

9. Le parti di un contratto contemplato dal paragrafo 1 non escludono l’applicazione del presente articolo, non vi derogano né ne modificano gli effetti.

CAPO V

METTERE I DATI A DISPOSIZIONE DI ENTI PUBBLICI, DELLA COMMISSIONE, DELLA BANCA CENTRALE EUROPEA E DI ORGANISMI DELL’UNIONE SULLA BASE DI NECESSITÀ ECCEZIONALI

Articolo 15

Necessità eccezionale di utilizzare i dati

1. Una necessità eccezionale di utilizzare determinati dati ai sensi del presente capo è limitata nel tempo e nella portata e si considera esistente esclusivamente in una delle circostanze seguenti:

a)	se i dati richiesti sono necessari per rispondere a un’ emergenza_pubblica e l’ ente_pubblico, la Commissione, la Banca centrale europea o l’organismo dell’Unione non può ottenere tali dati con mezzi alternativi in modo tempestivo ed efficace a condizioni equivalenti;

in circostanze non contemplate dalla lettera a) e solo nella misura in cui si tratti di dati non personali qualora:

un ente_pubblico, la Commissione, la Banca centrale europea o un organismo dell’Unione agisca sulla base del diritto dell’Unione o nazionale e abbia individuato dati specifici la cui mancanza gli impedisce di svolgere un compito specifico svolto nell’interesse pubblico esplicitamente previsto dalla legge, quali la redazione di statistiche ufficiali, la mitigazione o la ripresa dopo un’ emergenza_pubblica; e

ii)

l’ ente_pubblico, la Commissione, la Banca centrale europea o l’organismo dell’Unione abbia esaurito tutti gli altri mezzi a sua disposizione per ottenere tali dati, compresi, l’acquisto dei dati sul mercato ai prezzi di mercato o il ricorso a obblighi vigenti in materia di messa a disposizione dei dati oppure l’adozione di nuove misure legislative che potrebbero garantire la tempestiva disponibilità dei dati.

2. Il paragrafo 1, lettera b), non si applica alle microimprese e alle piccole imprese.

3. L’obbligo di dimostrare che l’ ente_pubblico non ha potuto ottenere i dati non personali acquistandoli sul mercato non si applica quando il compito specifico svolto nell’interesse pubblico è la produzione di statistiche ufficiali e quando l’acquisto di tali dati non è autorizzato dal diritto nazionale.

Articolo 33

Requisiti essenziali in materia di interoperabilità dei dati, dei meccanismi e servizi di condivisione dei dati nonché degli spazi comuni europei di dati

1. Per facilitare l’ interoperabilità dei dati , dei meccanismi e servizi di condivisione dei dati nonché degli spazi comuni europei di dati, che costituiscono quadri interoperabili per scopi specifici, settoriali o intersettoriali di norme e prassi comuni per condividere o trattare congiuntamente i dati, anche per lo sviluppo di nuovi prodotti e servizi, della ricerca scientifica o di iniziative della società civile, i partecipanti agli spazi di dati che offrono dati o servizi di dati ad altri partecipanti rispettano i requisiti essenziali seguenti:

il contenuto degli insiemi di dati, le restrizioni all’uso, le licenze, la metodologia di raccolta dei dati e la qualità e l’incertezza dei dati sono descritti, se del caso in un formato leggibile da dispositivo automatico, in modo sufficiente a consentire al destinatario di trovare i dati, accedervi e utilizzarli;

b)	le strutture e i formati dei dati, i vocabolari, gli schemi di classificazione, le tassonomie e gli elenchi dei codici, se disponibili, sono descritti in modo accessibile al pubblico e coerente;

i mezzi tecnici per accedere ai dati, quali le interfacce di programmazione delle applicazioni (API), e le relative condizioni d’uso e di qualità del servizio sono descritti in modo sufficiente a consentire l’accesso automatico ai dati e la relativa trasmissione automatica tra le parti, anche in modo continuo, in download in blocco o in tempo reale, in un formato leggibile da dispositivo automatico, qualora tecnicamente fattibile e non di ostacolo al buon funzionamento del prodotto_connesso;

d)	se del caso, sono forniti i mezzi per consentire l’ interoperabilità degli strumenti concepiti per automatizzare l’esecuzione degli accordi di condivisione dei dati, ad esempio i contratti intelligenti.

Tali requisiti possono avere carattere generico o riguardare settori specifici, tenendo pienamente conto dell’interrelazione con i requisiti derivanti dal diritto dell’Unione o nazionale.

2. Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 45 per integrare il presente regolamento specificando ulteriormente i requisiti essenziali di cui al paragrafo 1 del presente articolo, in relazione ai requisiti che, per loro natura, non sono in grado di produrre l’effetto atteso a meno che non siano ulteriormente specificati in atti giuridici vincolanti dell’Unione e al fine di riflettere adeguatamente gli sviluppi tecnologici e di mercato.

La Commissione, quando adotta atti delegati, tiene conto dei pareri dell’EDIB conformemente all’articolo 42, lettera c), punto iii).

3. Si presume che i partecipanti agli spazi di dati che offrono dati o servizi di dati ad altri partecipanti agli spazi di dati che soddisfano le norme armonizzate o parti di esse, i cui riferimenti sono pubblicati nella Gazzetta ufficiale dell’Unione europea, siano conformi ai requisiti essenziali di cui al paragrafo 1 nella misura in cui tali requisiti sono contemplati da tali norme armonizzate o parti di esse.

4. Conformemente all’articolo 10 del regolamento (UE) n. 1025/2012, la Commissione chiede a una o più organizzazioni europee di normazione di elaborare norme armonizzate che soddisfino i requisiti essenziali di cui al paragrafo 1 del presente articolo.

5. La Commissione può adottare, mediante atti di esecuzione, specifiche_comuni che contemplino uno o tutti i requisiti essenziali di cui al paragrafo 1 laddove siano state soddisfatte le condizioni seguenti:

la Commissione ha chiesto, a norma dell’articolo 10, paragrafo 1, del regolamento (UE) n. 1025/2012, a una o più organizzazioni europee di normazione di elaborare una norma_armonizzata che soddisfi i requisiti essenziali di cui al paragrafo 1 del presente articolo e:

i)	la richiesta non è stata accettata;

ii)	le norme armonizzate che rispondono a tale richiesta non sono ultimati entro una determinata scadenza a norma dell’articolo 10, paragrafo 1, del regolamento (UE) n. 1025/2012; oppure

iii)	le norme armonizzate non sono conformi alla richiesta; e

nessun riferimento a norme armonizzate che contemplino i requisiti essenziali pertinenti di cui al paragrafo 1 del presente articolo è pubblicato nella Gazzetta ufficiale dell’Unione europea conformemente al regolamento (UE) n. 1025/2012 e non si prevede la pubblicazione di tale riferimento entro un termine ragionevole.

Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 46, paragrafo 2.

6. Prima di preparare un progetto di atto di esecuzione di cui al paragrafo 5 del presente articolo, la Commissione comunica al comitato di cui all’articolo 22 del regolamento (UE) n. 1025/2012 che ritiene soddisfatte le condizioni di cui al paragrafo 5 del presente articolo.

7. Nel preparare il progetto di atto di esecuzione di cui al paragrafo 5, la Commissione tiene conto dei pareri del EDIB e di altri organismi o gruppi di esperti pertinenti e consulta debitamente tutti i pertinenti portatori di interessi.

8. Si presume che i partecipanti agli spazi di dati che offrono dati o servizi di dati ad altri partecipanti agli spazi di dati che soddisfano le specifiche_comuni stabilite da atti di esecuzione di cui al paragrafo 5 o parti di essi siano conformi ai requisiti essenziali di cui al paragrafo 1 nella misura in cui tali requisiti sono contemplati da tali specifiche_comuni o parti di esse.

9. Qualora una norma_armonizzata sia adottata da un’organizzazione europea di normazione e proposta alla Commissione ai fini della pubblicazione del suo riferimento nella Gazzetta ufficiale dell’Unione europea, la Commissione valuta la norma_armonizzata conformemente al regolamento (UE) n. 1025/2012. Qualora il riferimento di una norma_armonizzata sia pubblicato nella Gazzetta ufficiale dell’Unione europea, la Commissione abroga gli atti di esecuzione di cui al paragrafo 5 del presente articolo o parti di essi, che riguardano gli stessi requisiti essenziali contemplati da tali norme armonizzate.

10. Qualora uno Stato membro ritenga che una specifica comune non soddisfi completamene i requisiti essenziali di cui al paragrafo 1, esso ne informa la Commissione presentando una spiegazione dettagliata. La Commissione valuta tale spiegazione dettagliata e, se del caso, può modificare l’atto di esecuzione che stabilisce la specifica comune in questione.

11. La Commissione può adottare orientamenti, tenendo conto della proposta dell’EDIB conformemente all’articolo 30, lettera h), del regolamento (UE) 2022/868, che stabiliscono quadri interoperabili di norme e prassi comuni per il funzionamento degli spazi comuni europei di dati.

Articolo 36

Requisiti essenziali relativi ai contratti intelligenti per l’esecuzione degli accordi di condivisione dei dati

1. Il venditore di applicazioni che utilizzano contratti intelligenti o, in sua assenza, la persona la cui attività commerciale, imprenditoriale o professionale comporti l’implementazione di contratti intelligenti per altri nel contesto dell’esecuzione di un accordo, o parte di esso, di messa a disposizione dei dati, assicura che tali contratti intelligenti rispettino i requisiti essenziali seguenti:

a)	robustezza e controllo dell’accesso, garantire che il contratto_intelligente sia stato progettato in modo da offrire meccanismi di controllo dell’accesso e un grado di robustezza molto elevato per evitare errori funzionali e resistere alla manipolazione di terzi;

cessazione e interruzione sicure, per garantire che esista un meccanismo per cessare l’esecuzione continua delle transazioni e che contratto_intelligente comprenda funzioni interne che possano reimpostarlo o trasmettergli l’istruzione di fermare o interrompere il proprio funzionamento, in particolare per evitare esecuzioni accidentali future;

archiviazione e continuità dei dati, per garantire, nel caso in cui si debba procedere alla risoluzione o alla disattivazione di un contratto_intelligente, che vi sia la possibilità di archiviare i dati relativi alle transazioni nonché la logica e il codice del contratto_intelligente al fine di tenere traccia delle operazioni effettuate sui dati in passato (verificabilità);

d)	controllo dell’accesso, per garantire che un contratto_intelligente sia protetto mediante meccanismi rigorosi di controllo dell’accesso sul piano della governance e del contratto_intelligente; e

e)	coerenza, per garantire che si intende la coerenza con le clausole dell’accordo di condivisione dei dati che il contratto_intelligente esegue.

2. Il venditore di contratti intelligenti o, in sua assenza, la persona la cui attività commerciale, imprenditoriale o professionale comporti l’implementazione di contratti intelligenti per altri nel contesto dell’esecuzione di un accordo, o parte di esso, di messa a disposizione dei dati effettua una valutazione della conformità al fine di soddisfare i requisiti essenziali di cui al paragrafo 1 e, se tali requisiti sono soddisfatti, rilascia una dichiarazione di conformità UE.

3. Con la dichiarazione di conformità UE il venditore di applicazioni che utilizzano contratti intelligenti o, in sua assenza, la persona la cui attività commerciale, imprenditoriale o professionale comporti l’implementazione di contratti intelligenti per altri nel contesto dell’implementazione di un accordo, o parte di esso, di messa a disposizione dei dati, è responsabile del rispetto dei requisiti essenziali di cui al paragrafo 1.

4. Si presume che un contratto_intelligente che soddisfa le norme armonizzate o le pertinenti parti di tali norme, i cui riferimenti sono pubblicati nella Gazzetta ufficiale dell’Unione europea, sia conforme ai requisiti essenziali di cui al paragrafo 1 del presente articolo nella misura in cui tali requisiti sono contemplati da tali norme armonizzate o parti di esse.

5. Ai sensi dell’articolo 10 del regolamento (UE) n. 1025/2012, la Commissione chiede a una o più organizzazioni europee di normazione di elaborare norme armonizzate che soddisfino i requisiti essenziali di cui al paragrafo 1 del presente articolo.

6. La Commissione può adottare, mediante atti di esecuzione, specifiche_comuni che contemplino una o tutti i requisiti essenziali di cui al paragrafo 1 laddove siano state soddisfatte le condizioni seguenti:

i)	la richiesta non è stata accettata,

ii)	le norme armonizzate che rispondono a tale richiesta non sono ultimati entro una determinata scadenza a norma dell’articolo 10, paragrafo 1, del regolamento (UE) n. 1025/2012, oppure

iii)	le norme armonizzate non sono conformi alla richiesta; e

Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 46, paragrafo 2.

7. Prima di preparare un progetto di atto di esecuzione di cui al paragrafo 6 del presente articolo, la Commissione comunica al comitato di cui all’articolo 22 del regolamento (UE) n. 1025/2012 che ritiene soddisfatte le condizioni di cui al paragrafo 6 del presente articolo.

8. Nel preparare il progetto di atto di esecuzione di cui al paragrafo 6, la Commissione tiene conto dei pareri del EDIB e di altri organismi o gruppi di esperti pertinenti e consulta debitamente tutti i pertinenti portatori di interessi.

9. Si presume che il venditore di contratti intelligenti o, in sua assenza, la persona la cui attività commerciale, imprenditoriale o professionale comporti l’implementazione di contratti intelligenti per altri nel contesto dell’implementazione di un accordo, o parte di esso, di messa a disposizione dei dati che soddisfano le specifiche_comuni stabilite da atti di esecuzione di cui al paragrafo 5 o parti di essi sia conforme ai requisiti essenziali di cui al paragrafo 1 nella misura in cui tali requisiti sono contemplati da tali specifiche_comuni o parti di esse.

10. Qualora una norma_armonizzata sia adottata da un’organizzazione europea di normazione e proposta alla Commissione al fine di pubblicare il suo riferimento nella Gazzetta ufficiale dell’Unione europea, la Commissione valuta la norma_armonizzata conformemente al regolamento (UE) n. 1025/2012. Qualora il riferimento di una norma_armonizzata sia pubblicato nella Gazzetta ufficiale dell’Unione europea, la Commissione abroga gli atti di esecuzione di cui al paragrafo 6 del presente articolo, o parti di essi, che riguardano gli stessi requisiti essenziali contemplati da tali norme armonizzate.

11. Qualora uno Stato membro ritenga che una specifica comune non soddisfi completamene i requisiti essenziali di cui al paragrafo 1, esso ne informa la Commissione presentando una spiegazione dettagliata. La Commissione valuta tale spiegazione dettagliata e, se del caso, modifica l’atto di esecuzione che stabilisce la specifica comune in questione.

CAPO IX

ATTUAZIONE ED ESECUZIONE

whereas

keyboard_tab Data Act 2023/2854 IT

Data Act 2023/2854 IT