Data Act 2023/2854 IT

1)	« dati»: qualsiasi rappresentazione digitale di atti, fatti o informazioni e qualsiasi raccolta di tali atti, fatti o informazioni, anche sotto forma di registrazione sonora, visiva o audiovisiva;

2)	«meta dati»: una descrizione strutturata del contenuto o dell’uso dei dati che agevola la ricerca o l’utilizzo di tali dati;

3)	« dati personali»: i dati personali quali definiti all’articolo 4, punto 1, del regolamento (UE) 2016/679;

4)	« dati non personali»: i dati diversi dai dati personali;

« prodotto_connesso»: un bene che ottiene, genera o raccoglie dati relativi al suo utilizzo o al suo ambiente e che è in grado di comunicare dati del prodotto tramite un servizio di comunicazione elettronica, una connessione fisica o l’accesso su dispositivo, e la cui funzione primaria non è l’archiviazione, il trattamento o la trasmissione dei dati per conto di una parte diversa dall’ utente;

« servizio_correlato»: un servizio digitale diverso da un servizio di comunicazione elettronica, anche software, connesso con il prodotto al momento dell’acquisto, della locazione o del noleggio in modo tale che la sua assenza impedirebbe al prodotto_connesso di svolgere una o più delle sue funzioni o che è successivamente connesso al prodotto dal fabbricante o da un terzo al fine di ampliare, aggiornare o adattare le funzioni del prodotto_connesso;

« trattamento»: qualsiasi operazione o insieme di operazioni compiute su dati o insiemi di dati, con o senza l’ausilio di strumenti automatizzati, come la raccolta, la registrazione, l’organizzazione, la strutturazione, l’archiviazione, l’adattamento o la modifica, il reperimento, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o altra forma di messa a disposizione, l’allineamento o l’interconnessione, la limitazione, la cancellazione o la distruzione;

«servizio di trattamento dei dati»: un servizio digitale fornito a un cliente e che consente l’accesso di rete universale e su richiesta a un pool condiviso di risorse informatiche configurabili, scalabili ed elastiche di natura centralizzata, distribuita o altamente distribuita e che può essere rapidamente erogato e rilasciato con un minimo sforzo di gestione o interazione con il fornitore di servizi;

9)	« stesso_tipo_di_servizio»: un insieme di servizi di trattamento dei dati che condividono lo stesso obiettivo primario, lo stesso modello di servizio di trattamento dei dati e le principali funzionalità;

10)	«servizio di intermediazione dei dati»: un servizio di intermediazione dei dati quale definito all’articolo 2, punto 11, del regolamento (UE) 2022/868;

11)	« interessato»: l’ interessato di cui all’articolo 4, punto 1, del regolamento (UE) 2016/679;

12)	« utente»: una persona fisica o giuridica che possiede un prodotto_connesso o a cui sono stati trasferiti contrattualmente diritti temporanei di utilizzo di tale prodotto_connesso o che riceve un servizio_correlato;

13)

«titolare dei dati»: una persona fisica o giuridica che ha il diritto o l’obbligo, conformemente al presente regolamento, al diritto applicabile dell’Unione o alla legislazione nazionale adottata conformemente al diritto dell’Unione, di utilizzare e mettere a disposizione dati, compresi, se concordato contrattualmente, dati del prodotto o di un servizio_correlato che ha reperito o generato nel corso della fornitura di un servizio_correlato;

14)

«destinatario dei dati»: una persona fisica o giuridica, che agisce per fini connessi alla sua attività commerciale, imprenditoriale, artigianale o professionale, diversa dall’ utente di un prodotto_connesso o di un servizio_correlato, a disposizione della quale il titolare dei dati mette i dati, e che può essere un terzo in seguito a una richiesta da parte dell’ utente al titolare dei dati o conformemente a un obbligo giuridico ai sensi del diritto dell’Unione o della legislazione nazionale adottata conformemente al diritto dell’Unione;

15)

« dati del prodotto»: dati generati dall’uso di un prodotto_connesso e progettati dal fabbricante in modo tale che un utente, un titolare dei dati o un terzo, compreso se del caso il fabbricante, possano reperirli tramite un servizio di comunicazione elettronica, una connessione fisica o l’accesso su dispositivo;

16)

« dati di un servizio_correlato»: dati che rappresentano la digitalizzazione delle azioni o degli eventi degli utenti relativi al prodotto_connesso, registrati intenzionalmente dall’ utente o generati come sottoprodotto dell’azione dell’ utente durante la fornitura di un servizio_correlato da parte del fornitore;

17)	« dati prontamente disponibili»: dati del prodotto e dati di un servizio_correlato che un titolare dei dati ottiene o può ottenere legittimamente dal prodotto_connesso o dal servizio_correlato senza che ciò implichi uno sforzo sproporzionato che vada al di là di una semplice operazione;

18)	« segreto_commerciale»: un segreto_commerciale quale definito all’articolo 2, punto 1, della direttiva (UE) 2016/943;

19)	«detentore del segreto_commerciale»: un detentore del segreto_commerciale quale definito all’articolo 2, punto 2, della direttiva (UE) 2016/943;

20)	« profilazione»: la profilazione quale definita all’articolo 4, punto 4, del regolamento (UE) 2016/679;

21)	« messa_a_disposizione_sul_mercato»: la fornitura di un prodotto_connesso per la distribuzione, il consumo o l’uso sul mercato dell’Unione nel corso di un’attività commerciale, a titolo oneroso o gratuito;

22)	« immissione_sul_mercato»: la prima messa a disposizione di un prodotto_connesso sul mercato dell’Unione;

23)	« consumatore»: qualsiasi persona fisica che agisce per scopi estranei alla propria attività commerciale, imprenditoriale, artigianale o professionale;

24)	« impresa»: una persona fisica o giuridica che, in relazione ai contratti e alle pratiche di cui al presente regolamento, agisce per fini connessi alla propria attività commerciale, imprenditoriale, artigianale o professionale;

25)	«piccola impresa» una piccola impresa quale definita all’articolo 2, paragrafo 2, dell’allegato della raccomandazione 2003/361/CE;

26)	«micro impresa»: una micro impresa quale definita all’articolo 2, paragrafo 3, dell’allegato della raccomandazione 2003/361/CE;

27)	« organismi_dell’Unione»: organi e organismi_dell’Unione istituiti da atti adottati sulla base del trattato sull’Unione europea, del TFUE o del trattato che istituisce la comunità europea dell’energia atomica o ai sensi di tali atti;

28)	« ente_pubblico»: le autorità nazionali, regionali o locali degli Stati membri e gli organismi di diritto pubblico degli Stati membri o le associazioni formate da una o più di tali autorità oppure da uno o più di tali organismi;

29)

« emergenza_pubblica»: una situazione eccezionale, limitata nel tempo, come un’emergenza di sanità pubblica, un’emergenza derivante da calamità naturali, una grave catastrofe di origine antropica, compreso un grave incidente di cibersicurezza, che incide negativamente sulla popolazione dell’Unione o su tutto o parte di uno Stato membro, con il rischio di ripercussioni gravi e durature sulle condizioni di vita o sulla stabilità economica, sulla stabilità finanziaria, o di un sostanziale e immediato degrado delle risorse economiche nell’Unione o nello Stato membro o negli Stati membri interessati e che è determinata o dichiarata ufficialmente in conformità delle pertinenti procedure previste dal diritto dell’Unione o nazionale;

30)	« cliente»: una persona fisica o giuridica che ha instaurato un rapporto contrattuale con un fornitore di servizi di trattamento dei dati con l’obiettivo di utilizzare uno o più servizi di trattamento dei dati;

31)	« assistenti_virtuali»: software che può elaborare richieste, compiti o domande, compresi quelli basati su input sonori o scritti, gesti o movimenti, e che, sulla base di tali richieste, compiti o domande, fornisce accesso ad altri servizi o controlla le funzioni dei prodotti connessi;

32)	« risorse_digitali»: elementi in formato digitale, comprese le applicazioni, relativamente ai quali il cliente ha il diritto d’uso, indipendentemente dal rapporto contrattuale con il servizio di trattamento dei dati che intende abbandonare per passare a un altro;

33)	« infrastruttura_TIC_locale»: un’infrastruttura TIC e risorse informatiche possedute dal cliente, o da questi prese in locazione o noleggiate, situate nel centro dati del cliente stesso e operate dal cliente o da un terzo;

34)

« passaggio»: il processo che coinvolge un fornitore di servizi di trattamento dei dati di origine, un cliente di un servizio di trattamento dei dati e, ove pertinente, un fornitore di servizi di trattamento dei dati di destinazione, nel quale il cliente del servizio di trattamento dei dati passa dall’utilizzo di un servizio di trattamento dei dati all’utilizzo di un altro servizio di trattamento dei dati appartenente allo stesso_tipo_di_servizio, o un altro servizio, offerto da un diverso fornitore di servizi di trattamento dei dati, o a una infrastruttura_TIC_locale, anche mediante l’estrazione, la trasformazione e il caricamento dei dati;

35)	«tariffe di uscita dei dati»: le tariffe di trasferimento dei dati addebitate ai clienti per l’estrazione dei loro dati attraverso la rete dall’infrastruttura TIC di un fornitore di servizi di trattamento dei dati e l’invio ai sistemi di un diverso fornitore o a infrastrutture TIC locali;

36)

«tariffe di passaggio»: le tariffe diverse dalle spese standard di servizio o di risoluzione anticipata, imposte da un fornitore di servizi di trattamento dei dati a un cliente per le azioni imposte dal presente regolamento in caso di passaggio ai sistemi di un diverso fornitore o all’ infrastruttura_TIC_locale, comprese le tariffe di uscita dei dati;

37)

« equivalenza_funzionale»: il ripristino, sulla base dei dati esportabili e delle risorse_digitali del cliente, di un livello minimo di funzionalità nell’ambiente di un nuovo servizio di trattamento dei dati dello stesso_tipo_di_servizio dopo il processo di passaggio, laddove il servizio del trattamento dei dati di destinazione fornisce risultati sostanzialmente comparabili in risposta al medesimo input per le caratteristiche condivise fornite al cliente in virtù del contratto;

38)

« dati esportabili»: ai fini degli articoli da 23 a 31 e dell’articolo 35, i dati di ingresso e uscita, inclusi i meta dati, direttamente o indirettamente generati o cogenerati dall’utilizzo del servizio di trattamento dei dati da parte del cliente, a esclusione di risorse o dati protetti da diritti di proprietà intellettuale, o che costituiscono segreti commerciali, di fornitori di servizi di trattamento dei dati o di terzi;

39)	« contratto_intelligente»: un programma informatico utilizzato per l’esecuzione automatica di un accordo o di parte di esso utilizzando una sequenza di registrazioni elettroniche di dati e garantendone l’integrità e l’accuratezza del loro ordine cronologico;

40)	« interoperabilità»: la capacità di due o più spazi di dati o reti di comunicazione, sistemi, prodotti connessi, applicazioni, servizi di trattamento di dati o componenti di scambiare e utilizzare dati per svolgere le loro funzioni;

41)	«specifica di interoperabilità aperta»: una specifica tecnica delle tecnologie dell’informazione e della comunicazione, orientate alle prestazioni ai fini del conseguimento dell’ interoperabilità tra i servizi di trattamento dei dati;

42)	« specifiche_comuni»: un documento, diverso da una norma, contenente soluzioni tecniche che forniscono i mezzi per soddisfare determinati requisiti e obblighi stabiliti a norma del presente regolamento;

43)	« norma_armonizzata»: una norma_armonizzata, quale definita all’articolo 2, punto 1, lettera c), del regolamento (UE) n. 1025/2012.

CAPO II

CONDIVISIONE DEI DATI DA IMPRESA A CONSUMATORE E DA IMPRESA A IMPRESA

Articolo 4

Diritti e obblighi degli utenti e dei titolari dei dati per l’accesso, l’utilizzo e la messa a disposizione dei dati del prodotto e del servizio_correlato

1. Qualora l’ utente non possa accedere direttamente ai dati a partire dal prodotto_connesso o dal servizio_correlato, i titolari dei dati mettono prontamente a disposizione dell’ utente i dati, nonché i pertinenti meta dati necessari per interpretare e utilizzare tali dati senza indebito ritardo, con la stessa qualità di cui dispone il titolare dei dati, in modo facile, sicuro, gratuitamente, in un formato completo, strutturato, di uso comune e leggibile da dispositivo automatico e, ove pertinente e tecnicamente possibile, modo continuo e in tempo reale. Ciò avviene sulla base di una semplice richiesta mediante mezzi elettronici, ove tecnicamente fattibile.

2. Gli utenti e i titolari dei dati possono limitare o vietare contrattualmente l’accesso ai dati, il loro uso o la loro ulteriore condivisione nel caso in cui tale trattamento possa compromettere i requisiti di sicurezza del prodotto_connesso, come previsto dal diritto dell’Unione o nazionale, e comportare gravi effetti negativi per la salute, la sicurezza o la protezione delle persone fisiche. Le autorità settoriali possono fornire agli utenti e ai titolari dei dati competenze tecniche in tale contesto. Qualora rifiuti di condividere i dati ai sensi del presente articolo, il titolare dei dati notifica l’autorità competente designata ai sensi dell’articolo 37.

3. Fatto salvo il diritto dell’ utente di presentare ricorso in qualsiasi momento dinanzi a un organo giurisdizionale di uno Stato membro, in caso di eventuale controversia con il titolare dei dati relativamente a limitazioni o divieti contrattuali di cui al paragrafo 2 l’ utente può:

a)	presentare, conformemente all’articolo 37, paragrafo 5, lettera b), un reclamo all’autorità competente; o

b)	convenire con il titolare dei dati di deferire la questione a un organismo di risoluzione delle controversie in conformità dell’articolo 10, paragrafo 1.

4. I titolari dei dati non rendono indebitamente difficile l’esercizio delle scelte o dei diritti degli utenti a norma del presente articolo, ad esempio offrendo loro scelte in modo non neutrale o compromettendo o pregiudicando l’autonomia, il processo decisionale o le scelte dell’ utente attraverso la struttura, la progettazione, le funzioni o il funzionamento di un’interfaccia utente digitale o di una sua parte.

5. Al fine di verificare se una persona fisica o giuridica si possa considerare un utente ai fini del paragrafo 1, un titolare dei dati non impone a tale persona di fornire informazioni al di là di quanto necessario . I titolari dei dati non conservano informazioni, in particolare dati di registro, sull’accesso dell’ utente ai dati richiesti al di là di quanto necessario per la corretta esecuzione della richiesta di accesso dell’ utente e per la sicurezza e la manutenzione dell’infrastruttura di dati.

6. I segreti commerciali sono conservati e comunicati solo a condizione che prima della comunicazione il titolare dei dati e l’ utente adottino tutte le misure necessarie per tutelarne la riservatezza, in particolare rispetto a terzi. Il titolare dei dati o, qualora non si tratti della stessa persona, il detentore del segreto_commerciale individua i dati protetti quali segreti commerciali, anche nei pertinenti meta dati, e concorda con l’ utente le misure tecniche e organizzative proporzionate necessarie a preservare la riservatezza dei dati condivisi, in particolare rispetto a terzi, quali clausole contrattuali tipo, accordi di riservatezza, protocolli di accesso rigorosi, norme tecniche e l’applicazione di codici di condotta.

7. In assenza di accordo sulle misure necessarie di cui al paragrafo 6 o qualora l’ utente non attui le misure concordate a norma del paragrafo 6 o pregiudichi la riservatezza dei segreti commerciali, il titolare dei dati può bloccare o, se del caso, sospendere la condivisione dei dati identificati come segreti commerciali. La decisione del titolare dei dati è debitamente motivata e fornita all’ utente per iscritto e senza indebito ritardo. In tali casi il titolare dei dati notifica all’autorità competente designata a norma dell’articolo 37 di aver bloccato o sospeso la condivisione dei dati e indica quali misure non sono state concordate o attuate e, se del caso, di quali segreti commerciali è stata pregiudicata la riservatezza.

8. In circostanze eccezionali, qualora il titolare dei dati che è detentore di un segreto_commerciale possa dimostrare che subirà molto probabilmente gravi danni economici a causa della divulgazione di segreti commerciali, malgrado le misure tecniche e organizzative adottate dall’ utente a norma del paragrafo 6 del presente articolo, detto titolare dei dati può rifiutare di volta in volta una richiesta di accesso ai dati specifici in questione. Tale dimostrazione è debitamente motivata sulla base di elementi oggettivi, in particolare l’applicabilità della protezione dei segreti commerciali in paesi terzi, la natura e il livello di riservatezza dei dati richiesti nonché l’unicità e la novità del prodotto_connesso, ed è fornita per iscritto all’ utente e senza indebito ritardo. Qualora rifiutasse di condividere i dati ai sensi del presente paragrafo, il titolare dei dati notifica l’autorità competente designata a norma dell’articolo 37.

9. Fatto salvo il diritto di un utente di presentare ricorso in qualsiasi momento dinanzi a un organo giurisdizionale di uno Stato membro, un utente che intenda contestare la decisione di un titolare dei dati di rifiutare, o di bloccare o sospendere la condivisione di dati a norma dei paragrafi 7 e 8 può:

a)	presentare, conformemente all’articolo 37, paragrafo 5, lettera b), un reclamo all’autorità competente che decide senza indebito ritardo se e a quali condizioni debba iniziare o riprendere la condivisione dei dati; o

b)	convenire con il titolare dei dati di deferire la questione a un organismo di risoluzione delle controversie in conformità dell’articolo 10, paragrafo 1.

10. L’ utente non utilizza i dati ottenuti in seguito a una richiesta di cui al paragrafo 1 per sviluppare un prodotto_connesso in concorrenza con il prodotto_connesso da cui provengono i dati, né li condivide con un terzo con tale intenzione e non utilizza tali dati per ottenere informazioni sulla situazione economica, sulle risorse e sui metodi di produzione del fabbricante o, se applicabile, del titolare dei dati.

11. L’ utente non utilizza mezzi coercitivi né abusa di lacune nell’infrastruttura tecnica del titolare dei dati destinata a proteggere i dati al fine di ottenere l’accesso agli stessi.

12. Se l’ utente non è l’ interessato i cui dati personali sono richiesti, i dati personali generati dall’uso di un prodotto_connesso o di un servizio_correlato sono messi a disposizione dell’ utente dal titolare dei dati solo se esiste una valida base giuridica del trattamento a norma dell’articolo 6 del regolamento (UE) 2016/679 e, ove pertinente, se sono soddisfatte le condizioni di cui all’articolo 9 di detto regolamento e all’articolo 5, paragrafo 3, della direttiva 2002/58/CE.

13. Un titolare dei dati utilizza eventuali dati non personali prontamente disponibili solo sulla base di un contratto stipulato con l’ utente. Un titolare dei dati non utilizza tali dati per ottenere informazioni sulla situazione economica, sulle risorse e sui metodi di produzione dell’ utente, o sull’utilizzo da parte di quest’ultimo in qualsiasi altro modo che potrebbe compromettere la sua posizione commerciale sui mercati in cui l’ utente è attivo.

14. I titolari dei dati non mettono a disposizione di terzi i dati non personali del prodotto a fini commerciali o non commerciali diversi dall’esecuzione del loro contratto con l’ utente. Se del caso, i titolari dei dati vincolano contrattualmente i terzi a non condividere ulteriormente i dati da essi ricevuti.

Articolo 5

Diritto dell’ utente di condividere i dati con terzi

1. Su richiesta di un utente, o di una parte che agisce per conto di un utente, il titolare dei dati mette a disposizione di terzi i dati prontamente disponibili, nonché i pertinenti meta dati necessari a interpretare e utilizzare tali dati, senza indebito ritardo, con la stessa qualità di cui dispone il titolare dei dati, in modo facile, sicuro, a titolo gratuito per l’ utente, in un formato completo, strutturato, di uso comune e leggibile da dispositivo automatico e, ove pertinente e tecnicamente possibile, in modo continuo e in tempo reale. I dati sono messi a disposizione del terzo dal titolare dei dati in conformità degli articoli 8 e 9.

2. Il paragrafo 1 non si applica ai dati prontamente disponibili nel contesto del collaudo di nuovi prodotti connessi, sostanze o processi non ancora immessi sul mercato a meno che il loro utilizzo da parte di terzi non sia autorizzato contrattualmente.

3. Qualsiasi impresa designata come gatekeeper a norma dell’articolo 3 del regolamento (UE) 2022/1925 non è un terzo ammissibile ai sensi del presente articolo e pertanto:

a)	non sollecita né fornisce incentivi commerciali all’ utente in qualsiasi modo, anche fornendo compensi pecuniari o di altro tipo, affinché metta i dati a disposizione di uno dei suoi servizi che l’ utente ha ottenuto in seguito a una richiesta a norma dell’articolo 4, paragrafo 1;

b)	non sollecita né fornisce incentivi commerciali all’ utente affinché chieda al titolare dei dati di mettere i dati a disposizione di uno dei suoi servizi a norma del paragrafo 1 del presente articolo;

c)	non riceve dall’ utente dati che quest’ultimo ha ottenuto in seguito a una richiesta a norma dell’articolo 4, paragrafo 1.

4. Al fine di verificare se una persona fisica o giuridica si possa considerare un utente o un terzo ai fini del paragrafo 1, l’ utente o il terzo non è tenuto a fornire informazioni al di là di quanto necessario . I titolari dei dati non conservano informazioni sull’accesso del terzo ai dati richiesti al di là di quanto necessario per la corretta esecuzione della richiesta di accesso del terzo e per la sicurezza e la manutenzione dell’infrastruttura di dati.

5. Il terzo non utilizza mezzi coercitivi né abusa di lacune nell’infrastruttura tecnica di un titolare dei dati destinata a proteggere i dati al fine di ottenere l’accesso ai dati.

6. Un titolare dei dati non utilizza dati prontamente disponibili per ottenere informazioni sulla situazione economica, sulle risorse e sui metodi di produzione del terzo, o sull’utilizzo da parte di quest’ultimo in qualsiasi altro modo che potrebbe compromettere la posizione commerciale del terzo sui mercati in cui è attivo, a meno che quest’ultimo non abbia autorizzato tale uso e abbia la possibilità tecnica di revocare facilmente tale autorizzazione in qualsiasi momento.

7. Se l’ utente non è l’ interessato i cui dati personali sono richiesti, i dati personali generati dall’uso di un prodotto_connesso o di un servizio_correlato, sono messi a disposizione del terzo dal titolare dei dati solo se esiste una valida base giuridica per il trattamento a norma dell’articolo 6 del regolamento (UE) 2016/679 e, ove pertinente, se sono soddisfatte le condizioni di cui all’articolo 9 di detto regolamento e all’articolo 5, paragrafo 3, della direttiva 2002/58/CE.

8. La mancanza di accordo, da parte del titolare dei dati e del terzo, sulle modalità per la trasmissione dei dati non ostacola, impedisce o interferisce con l’esercizio dei diritti dell’ interessato a norma del regolamento (UE) 2016/679 e, in particolare, con il diritto alla portabilità dei dati di cui all’articolo 20 di tale regolamento.

9. I segreti commerciali sono conservati e comunicati a terzi solo nella misura in cui tale divulgazione è strettamente necessaria per conseguire la finalità concordata tra l’ utente e il terzo. Il titolare dei dati o, qualora non si tratti della stessa persona, il detentore del segreto_commerciale individua i dati protetti quali segreti commerciali, anche nei pertinenti meta dati, e concorda con il terzo le misure tecniche e organizzative proporzionate necessarie a preservare la riservatezza dei dati condivisi, quali clausole contrattuali tipo, accordi di riservatezza, protocolli di accesso rigorosi, norme tecniche e l’applicazione di codici di condotta.

10. In assenza di accordo sulle misure necessarie di cui al paragrafo 9 del presente articolo o qualora il terzo non attui le misure concordate ai sensi del paragrafo 9 del presente articolo o pregiudichi la riservatezza dei segreti commerciali, il titolare dei dati può bloccare o, se del caso, sospendere la condivisione dei dati identificati come segreti commerciali. La decisione del titolare dei dati è debitamente motivata e fornita al terzo per iscritto e senza indebito ritardo. In tali casi il titolare dei dati notifica all’autorità competente designata a norma dell’articolo 37 di aver bloccato o sospeso la condivisione dei dati e indica quali misure non sono state concordate o attuate e, se del caso, di quali segreti commerciali è stata pregiudicata la riservatezza.

11. In circostanze eccezionali, qualora il titolare dei dati che è detentore di un segreto_commerciale possa dimostrare che subirà molto probabilmente gravi danni economici a causa della divulgazione di segreti commerciali, malgrado le misure tecniche e organizzative adottate dal terzo di cui al paragrafo 9 del presente articolo, tale titolare dei dati può rifiutare di volta in volta una richiesta di accesso ai dati specifici in questione. Tale dimostrazione è debitamente motivata sulla base di elementi oggettivi, in particolare l’applicabilità della protezione dei segreti commerciali in paesi terzi, la natura e il livello di riservatezza dei dati richiesti nonché l’unicità e la novità del prodotto_connesso, ed è fornita per iscritto al terzo senza indebito ritardo. Qualora rifiuti di condividere i dati ai sensi del presente paragrafo, il titolare dei dati notifica l’autorità competente designata a norma dell’articolo 37.

12. Fatto salvo il diritto del terzo di presentare ricorso in qualsiasi momento dinanzi a un organo giurisdizionale di uno Stato membro, un terzo che intenda contestare la decisione del titolare dei dati di rifiutare, o di bloccare o sospendere la condivisione di dati a norma dei paragrafi 10 e 11 può:

a)	presentare, conformemente all’articolo 37, paragrafo 5, lettera b), un reclamo all’autorità competente che decide senza indebito ritardo se e a quali condizioni debba iniziare o riprendere la condivisione dei dati; o

b)	convenire con il titolare dei dati di deferire la questione a un organismo di risoluzione delle controversie in conformità dell’articolo 10, paragrafo 1.

13. Il diritto di cui al paragrafo 1 non deve ledere i diritti degli interessati a norma del diritto dell’Unione e nazionale applicabile in materia di protezione dei dati personali.

Articolo 21

Condivisione dei dati ottenuti nel contesto di necessità eccezionali con organismi di ricerca o istituti statistici

1. Un ente_pubblico, la Commissione, la Banca centrale europea o un organismo dell’Unione ha il diritto di condividere i dati ricevuti a norma del presente capo:

a)	con persone o organizzazioni al fine di svolgere ricerche o analisi scientifiche compatibili con la finalità per la quale i dati sono stati richiesti; o

b)	con istituti nazionali di statistica ed Eurostat per la produzione di statistiche ufficiali.

2. Le persone o le organizzazioni che ricevono i dati a norma del paragrafo 1 agiscono senza fini di lucro o nell’ambito di una missione di interesse pubblico riconosciuta dal diritto dell’Unione o nazionale. Tali organizzazioni non comprendono le organizzazioni su cui imprese commerciali esercitano un’influenza significativa che è probabile possa comportare un accesso preferenziale ai risultati della ricerca.

3. Le persone o le organizzazioni che ricevono i dati a norma del paragrafo 1 del presente articolo rispettano gli stessi obblighi applicabili agli enti pubblici, alla Commissione, alla Banca centrale europea o agli organismi_dell’Unione, a norma dell’articolo 17, paragrafo 3, e dell’articolo 19.

4. Nonostante l’articolo 19, paragrafo 1, lettera c), le persone o le organizzazioni che ricevono i dati a norma del paragrafo 1 del presente articolo possono conservare i dati ricevuti per la finalità per la quale sono stati richiesti per un periodo massimo di sei mesi dalla loro cancellazione da parte degli enti pubblici, della Commissione, della Banca centrale europea e degli organismi_dell’Unione.

5. Se intende trasmettere o mettere a disposizione dati a norma del paragrafo 1 del presente articolo, un ente_pubblico, la Commissione, la Banca centrale europea o un organismo dell’Unione informa in merito, senza indebito ritardo, il titolare dei dati che li ha trasmessi, indicando l’identità e i dati di contatto dell’organizzazione o della persona che riceve i dati, le finalità della trasmissione o della messa a disposizione dei dati, il periodo per il quale i dati devono essere utilizzati e le misure tecniche e organizzative di protezione adottate, compresi i casi in cui si tratta di dati personali o segreti commerciali. Se è in disaccordo con la trasmissione o la messa a disposizione dei dati, il titolare dei dati può presentare un reclamo all’autorità competente, designata ai sensi dell’articolo 37, dello Stato membro in cui è stabilito.

Articolo 32

Accesso governativo e trasferimento internazionali

1. Fatti salvi i paragrafi 2 o 3, i fornitori di servizi di trattamento dei dati adottano tutte le misure tecniche, organizzative e giuridiche appropriate, ivi compresi contratti, al fine di impedire l’accesso governativo internazionale e di paesi terzi ai dati non personali detenuti nell’Unione e il trasferimento dei dati nei casi in cui tale trasferimento o accesso creerebbe un conflitto con il diritto dell’Unione o con il diritto nazionale dello Stato membro interessato.

2. Le decisioni o le sentenze di un organo giurisdizionale di un paese terzo e le decisioni di un’autorità amministrativa di un paese terzo che obbligano un fornitore di servizi di trattamento dei dati a trasferire dati non personali detenuti nell’Unione che rientrano nell’ambito di applicazione del presente regolamento o a concedervi l’accesso sono riconosciute o assumono qualsivoglia carattere esecutivo soltanto se basate su un accordo internazionale in vigore tra il paese terzo richiedente e l’Unione, ad esempio un trattato di mutua assistenza giudiziaria, o su qualsiasi accordo analogo tra il paese terzo richiedente e uno Stato membro.

3. In assenza di un accordo internazionale di cui al paragrafo 2, se un fornitore di servizi di trattamento dei dati è destinatario di una decisione o sentenza di un organo giurisdizionale di un paese terzo o di una decisione di un’autorità amministrativa di un paese terzo che prevede il trasferimento di dati non personali detenuti nell’Unione che rientrano nell’ambito di applicazione del presente regolamento o la concessione dell’accesso a tali dati, e il rispetto di tale decisione rischiasse di porre il destinatario della decisione in conflitto con il diritto dell’Unione o con il diritto nazionale dello Stato membro interessato, il trasferimento di tali dati o l’accesso agli stessi da parte di tale autorità del paese terzo ha luogo solo se:

a)	il sistema del paese terzo richiede che siano indicati i motivi e la proporzionalità di siffatta decisione o sentenza, e che tale decisione o sentenza abbia carattere specifico, ad esempio stabilendo un nesso sufficiente con determinate persone sospettate o determinate violazioni;

b)	l’obiezione motivata del destinatario è oggetto di esame da parte di un organo giurisdizionale competente del paese terzo; e

l’organo giurisdizionale competente del paese terzo che emette la decisione o la sentenza o esamina la decisione di un’autorità amministrativa ha il potere, in virtù del diritto di tale paese terzo, di tenere debitamente conto dei pertinenti interessi giuridici del fornitore dei dati tutelati a norma del diritto dell’Unione o dal diritto nazionale dello Stato membro interessato.

Il destinatario della decisione o della sentenza può chiedere il parere del pertinente organismo o autorità nazionale competente per la cooperazione giudiziaria internazionale, al fine di determinare se tali condizioni di cui al primo comma sono soddisfatte, in particolare quando ritiene che la decisione possa riguardare segreti commerciali e altri dati commercialmente sensibili, nonché contenuti protetti da diritti di proprietà intellettuale, o che il trasferimento possa portare alla reidentificazione. L’organismo o l’autorità nazionale pertinente può consultare la Commissione. Se ritiene che la decisione o la sentenza possa incidere sugli interessi di sicurezza nazionale o di difesa dell’Unione o dei suoi Stati membri, il destinatario chiede il parere dell’organismo o dell’autorità nazionale competente al fine di determinare se i dati richiesti riguardino interessi di sicurezza nazionale o di difesa dell’Unione o dei suoi Stati membri. Se non ha ricevuto risposta entro un mese, o se il parere di tale organismo o autorità conclude che non sono soddisfatte le condizioni di cui al primo comma, il destinatario può respingere la richiesta di trasferimento o di accesso a dati non personali per tali motivi.

L’EDIB di cui all’articolo 42 fornisce consulenza e assistenza alla Commissione nell’elaborazione di orientamenti sulla valutazione del rispetto delle condizioni di cui al primo comma del presente paragrafo.

4. Se le condizioni stabilite ai paragrafi 2 o 3 sono rispettate, il fornitore di servizi di trattamento dei dati fornisce la quantità minima di dati ammissibile in risposta a una richiesta, sulla base dell’interpretazione ragionevole di tale richiesta da parte del fornitore o dell’organismo o dell’autorità nazionali competenti di cui al paragrafo 3, secondo comma.

5. Il fornitore di servizi di trattamento dei dati informa il consumatore dell’esistenza di una richiesta di accesso ai suoi dati da parte di un’autorità di un paese terzo prima di dare seguito a tale richiesta, tranne se la richiesta abbia fini di contrasto e per il tempo necessario a preservare l’efficacia dell’attività di contrasto.

CAPO VIII

INTEROPERABILITÀ

Articolo 36

Requisiti essenziali relativi ai contratti intelligenti per l’esecuzione degli accordi di condivisione dei dati

1. Il venditore di applicazioni che utilizzano contratti intelligenti o, in sua assenza, la persona la cui attività commerciale, imprenditoriale o professionale comporti l’implementazione di contratti intelligenti per altri nel contesto dell’esecuzione di un accordo, o parte di esso, di messa a disposizione dei dati, assicura che tali contratti intelligenti rispettino i requisiti essenziali seguenti:

a)	robustezza e controllo dell’accesso, garantire che il contratto_intelligente sia stato progettato in modo da offrire meccanismi di controllo dell’accesso e un grado di robustezza molto elevato per evitare errori funzionali e resistere alla manipolazione di terzi;

cessazione e interruzione sicure, per garantire che esista un meccanismo per cessare l’esecuzione continua delle transazioni e che contratto_intelligente comprenda funzioni interne che possano reimpostarlo o trasmettergli l’istruzione di fermare o interrompere il proprio funzionamento, in particolare per evitare esecuzioni accidentali future;

archiviazione e continuità dei dati, per garantire, nel caso in cui si debba procedere alla risoluzione o alla disattivazione di un contratto_intelligente, che vi sia la possibilità di archiviare i dati relativi alle transazioni nonché la logica e il codice del contratto_intelligente al fine di tenere traccia delle operazioni effettuate sui dati in passato (verificabilità);

d)	controllo dell’accesso, per garantire che un contratto_intelligente sia protetto mediante meccanismi rigorosi di controllo dell’accesso sul piano della governance e del contratto_intelligente; e

e)	coerenza, per garantire che si intende la coerenza con le clausole dell’accordo di condivisione dei dati che il contratto_intelligente esegue.

2. Il venditore di contratti intelligenti o, in sua assenza, la persona la cui attività commerciale, imprenditoriale o professionale comporti l’implementazione di contratti intelligenti per altri nel contesto dell’esecuzione di un accordo, o parte di esso, di messa a disposizione dei dati effettua una valutazione della conformità al fine di soddisfare i requisiti essenziali di cui al paragrafo 1 e, se tali requisiti sono soddisfatti, rilascia una dichiarazione di conformità UE.

3. Con la dichiarazione di conformità UE il venditore di applicazioni che utilizzano contratti intelligenti o, in sua assenza, la persona la cui attività commerciale, imprenditoriale o professionale comporti l’implementazione di contratti intelligenti per altri nel contesto dell’implementazione di un accordo, o parte di esso, di messa a disposizione dei dati, è responsabile del rispetto dei requisiti essenziali di cui al paragrafo 1.

4. Si presume che un contratto_intelligente che soddisfa le norme armonizzate o le pertinenti parti di tali norme, i cui riferimenti sono pubblicati nella Gazzetta ufficiale dell’Unione europea, sia conforme ai requisiti essenziali di cui al paragrafo 1 del presente articolo nella misura in cui tali requisiti sono contemplati da tali norme armonizzate o parti di esse.

5. Ai sensi dell’articolo 10 del regolamento (UE) n. 1025/2012, la Commissione chiede a una o più organizzazioni europee di normazione di elaborare norme armonizzate che soddisfino i requisiti essenziali di cui al paragrafo 1 del presente articolo.

6. La Commissione può adottare, mediante atti di esecuzione, specifiche_comuni che contemplino una o tutti i requisiti essenziali di cui al paragrafo 1 laddove siano state soddisfatte le condizioni seguenti:

la Commissione ha chiesto, a norma dell’articolo 10, paragrafo 1, del regolamento (UE) n. 1025/2012, a una o più organizzazioni europee di normazione di elaborare una norma_armonizzata che soddisfi i requisiti essenziali di cui al paragrafo 1 del presente articolo e:

i)	la richiesta non è stata accettata,

ii)	le norme armonizzate che rispondono a tale richiesta non sono ultimati entro una determinata scadenza a norma dell’articolo 10, paragrafo 1, del regolamento (UE) n. 1025/2012, oppure

iii)	le norme armonizzate non sono conformi alla richiesta; e

nessun riferimento a norme armonizzate che contemplino i requisiti essenziali pertinenti di cui al paragrafo 1 del presente articolo è pubblicato nella Gazzetta ufficiale dell’Unione europea conformemente al regolamento (UE) n. 1025/2012 e non si prevede la pubblicazione di tale riferimento entro un termine ragionevole.

Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 46, paragrafo 2.

7. Prima di preparare un progetto di atto di esecuzione di cui al paragrafo 6 del presente articolo, la Commissione comunica al comitato di cui all’articolo 22 del regolamento (UE) n. 1025/2012 che ritiene soddisfatte le condizioni di cui al paragrafo 6 del presente articolo.

8. Nel preparare il progetto di atto di esecuzione di cui al paragrafo 6, la Commissione tiene conto dei pareri del EDIB e di altri organismi o gruppi di esperti pertinenti e consulta debitamente tutti i pertinenti portatori di interessi.

9. Si presume che il venditore di contratti intelligenti o, in sua assenza, la persona la cui attività commerciale, imprenditoriale o professionale comporti l’implementazione di contratti intelligenti per altri nel contesto dell’implementazione di un accordo, o parte di esso, di messa a disposizione dei dati che soddisfano le specifiche_comuni stabilite da atti di esecuzione di cui al paragrafo 5 o parti di essi sia conforme ai requisiti essenziali di cui al paragrafo 1 nella misura in cui tali requisiti sono contemplati da tali specifiche_comuni o parti di esse.

10. Qualora una norma_armonizzata sia adottata da un’organizzazione europea di normazione e proposta alla Commissione al fine di pubblicare il suo riferimento nella Gazzetta ufficiale dell’Unione europea, la Commissione valuta la norma_armonizzata conformemente al regolamento (UE) n. 1025/2012. Qualora il riferimento di una norma_armonizzata sia pubblicato nella Gazzetta ufficiale dell’Unione europea, la Commissione abroga gli atti di esecuzione di cui al paragrafo 6 del presente articolo, o parti di essi, che riguardano gli stessi requisiti essenziali contemplati da tali norme armonizzate.

11. Qualora uno Stato membro ritenga che una specifica comune non soddisfi completamene i requisiti essenziali di cui al paragrafo 1, esso ne informa la Commissione presentando una spiegazione dettagliata. La Commissione valuta tale spiegazione dettagliata e, se del caso, modifica l’atto di esecuzione che stabilisce la specifica comune in questione.

CAPO IX

ATTUAZIONE ED ESECUZIONE

Articolo 40

Sanzioni

1. Gli Stati membri stabiliscono le norme relative alle sanzioni da applicare in caso di violazione del presente regolamento e adottano tutte le misure necessarie per assicurarne l’applicazione. Le sanzioni previste devono essere effettive, proporzionate e dissuasive.

2. Gli Stati membri notificano tali norme e misure alla Commissione entro il 12 settembre 2025 e provvedono poi a dare immediata notifica delle eventuali modifiche successive. La Commissione tiene e aggiorna regolarmente un registro pubblico facilmente accessibile di tali misure.

3. Per l’inflizione delle sanzioni da applicare in caso di violazioni del presente regolamento, gli Stati membri tengono conto delle raccomandazioni dell’EDIB e dei criteri non esaustivi seguenti:

a)	la natura, la gravità, l’entità e la durata della violazione;

b)	eventuali azioni intraprese dall’autore della violazione per attenuare il danno causato dalla violazione o porvi rimedio;

c)	eventuali violazioni commesse in precedenza dall’autore della violazione;

d)	i vantaggi finanziari ottenuti o le perdite evitate dall’autore della violazione in ragione della violazione, nella misura in cui tali vantaggi o perdite possano essere determinati in modo attendibile;

e)	eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso;

f)	il fatturato annuo nell’Unione nell’esercizio precedente dell’autore della violazione.

4. Per l’inosservanza degli obblighi di cui ai capi II, III e V del presente regolamento, le autorità di controllo responsabili del controllo dell’applicazione del regolamento (UE) 2016/679 possono, nei limiti delle proprie competenze, infliggere sanzioni amministrative pecuniarie in conformità dell’articolo 83 del regolamento (UE) 2016/679 a concorrenza dell’importo di cui al paragrafo 5 del medesimo articolo.

5. Per l’inosservanza degli obblighi di cui al capo V del presente regolamento, il Garante europeo della protezione dei dati può, nei limiti delle proprie competenze, infliggere sanzioni amministrative pecuniarie conformemente all’articolo 66 del regolamento (UE) 2018/1725 a concorrenza dell’importo di cui al paragrafo 3 del medesimo articolo.

whereas

keyboard_tab Data Act 2023/2854 IT

Data Act 2023/2854 IT