Data Act 2023/2854 IT

1)	« dati»: qualsiasi rappresentazione digitale di atti, fatti o informazioni e qualsiasi raccolta di tali atti, fatti o informazioni, anche sotto forma di registrazione sonora, visiva o audiovisiva;

2)	«meta dati»: una descrizione strutturata del contenuto o dell’uso dei dati che agevola la ricerca o l’utilizzo di tali dati;

3)	« dati personali»: i dati personali quali definiti all’articolo 4, punto 1, del regolamento (UE) 2016/679;

4)	« dati non personali»: i dati diversi dai dati personali;

« prodotto_connesso»: un bene che ottiene, genera o raccoglie dati relativi al suo utilizzo o al suo ambiente e che è in grado di comunicare dati del prodotto tramite un servizio di comunicazione elettronica, una connessione fisica o l’accesso su dispositivo, e la cui funzione primaria non è l’archiviazione, il trattamento o la trasmissione dei dati per conto di una parte diversa dall’ utente;

« servizio_correlato»: un servizio digitale diverso da un servizio di comunicazione elettronica, anche software, connesso con il prodotto al momento dell’acquisto, della locazione o del noleggio in modo tale che la sua assenza impedirebbe al prodotto_connesso di svolgere una o più delle sue funzioni o che è successivamente connesso al prodotto dal fabbricante o da un terzo al fine di ampliare, aggiornare o adattare le funzioni del prodotto_connesso;

« trattamento»: qualsiasi operazione o insieme di operazioni compiute su dati o insiemi di dati, con o senza l’ausilio di strumenti automatizzati, come la raccolta, la registrazione, l’organizzazione, la strutturazione, l’archiviazione, l’adattamento o la modifica, il reperimento, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o altra forma di messa a disposizione, l’allineamento o l’interconnessione, la limitazione, la cancellazione o la distruzione;

«servizio di trattamento dei dati»: un servizio digitale fornito a un cliente e che consente l’accesso di rete universale e su richiesta a un pool condiviso di risorse informatiche configurabili, scalabili ed elastiche di natura centralizzata, distribuita o altamente distribuita e che può essere rapidamente erogato e rilasciato con un minimo sforzo di gestione o interazione con il fornitore di servizi;

9)	« stesso_tipo_di_servizio»: un insieme di servizi di trattamento dei dati che condividono lo stesso obiettivo primario, lo stesso modello di servizio di trattamento dei dati e le principali funzionalità;

10)	«servizio di intermediazione dei dati»: un servizio di intermediazione dei dati quale definito all’articolo 2, punto 11, del regolamento (UE) 2022/868;

11)	« interessato»: l’ interessato di cui all’articolo 4, punto 1, del regolamento (UE) 2016/679;

12)	« utente»: una persona fisica o giuridica che possiede un prodotto_connesso o a cui sono stati trasferiti contrattualmente diritti temporanei di utilizzo di tale prodotto_connesso o che riceve un servizio_correlato;

13)

«titolare dei dati»: una persona fisica o giuridica che ha il diritto o l’obbligo, conformemente al presente regolamento, al diritto applicabile dell’Unione o alla legislazione nazionale adottata conformemente al diritto dell’Unione, di utilizzare e mettere a disposizione dati, compresi, se concordato contrattualmente, dati del prodotto o di un servizio_correlato che ha reperito o generato nel corso della fornitura di un servizio_correlato;

14)

«destinatario dei dati»: una persona fisica o giuridica, che agisce per fini connessi alla sua attività commerciale, imprenditoriale, artigianale o professionale, diversa dall’ utente di un prodotto_connesso o di un servizio_correlato, a disposizione della quale il titolare dei dati mette i dati, e che può essere un terzo in seguito a una richiesta da parte dell’ utente al titolare dei dati o conformemente a un obbligo giuridico ai sensi del diritto dell’Unione o della legislazione nazionale adottata conformemente al diritto dell’Unione;

15)

« dati del prodotto»: dati generati dall’uso di un prodotto_connesso e progettati dal fabbricante in modo tale che un utente, un titolare dei dati o un terzo, compreso se del caso il fabbricante, possano reperirli tramite un servizio di comunicazione elettronica, una connessione fisica o l’accesso su dispositivo;

16)

« dati di un servizio_correlato»: dati che rappresentano la digitalizzazione delle azioni o degli eventi degli utenti relativi al prodotto_connesso, registrati intenzionalmente dall’ utente o generati come sottoprodotto dell’azione dell’ utente durante la fornitura di un servizio_correlato da parte del fornitore;

17)	« dati prontamente disponibili»: dati del prodotto e dati di un servizio_correlato che un titolare dei dati ottiene o può ottenere legittimamente dal prodotto_connesso o dal servizio_correlato senza che ciò implichi uno sforzo sproporzionato che vada al di là di una semplice operazione;

18)	« segreto_commerciale»: un segreto_commerciale quale definito all’articolo 2, punto 1, della direttiva (UE) 2016/943;

19)	«detentore del segreto_commerciale»: un detentore del segreto_commerciale quale definito all’articolo 2, punto 2, della direttiva (UE) 2016/943;

20)	« profilazione»: la profilazione quale definita all’articolo 4, punto 4, del regolamento (UE) 2016/679;

21)	« messa_a_disposizione_sul_mercato»: la fornitura di un prodotto_connesso per la distribuzione, il consumo o l’uso sul mercato dell’Unione nel corso di un’attività commerciale, a titolo oneroso o gratuito;

22)	« immissione_sul_mercato»: la prima messa a disposizione di un prodotto_connesso sul mercato dell’Unione;

23)	« consumatore»: qualsiasi persona fisica che agisce per scopi estranei alla propria attività commerciale, imprenditoriale, artigianale o professionale;

24)	« impresa»: una persona fisica o giuridica che, in relazione ai contratti e alle pratiche di cui al presente regolamento, agisce per fini connessi alla propria attività commerciale, imprenditoriale, artigianale o professionale;

25)	«piccola impresa» una piccola impresa quale definita all’articolo 2, paragrafo 2, dell’allegato della raccomandazione 2003/361/CE;

26)	«micro impresa»: una micro impresa quale definita all’articolo 2, paragrafo 3, dell’allegato della raccomandazione 2003/361/CE;

27)	« organismi_dell’Unione»: organi e organismi_dell’Unione istituiti da atti adottati sulla base del trattato sull’Unione europea, del TFUE o del trattato che istituisce la comunità europea dell’energia atomica o ai sensi di tali atti;

28)	« ente_pubblico»: le autorità nazionali, regionali o locali degli Stati membri e gli organismi di diritto pubblico degli Stati membri o le associazioni formate da una o più di tali autorità oppure da uno o più di tali organismi;

29)

« emergenza_pubblica»: una situazione eccezionale, limitata nel tempo, come un’emergenza di sanità pubblica, un’emergenza derivante da calamità naturali, una grave catastrofe di origine antropica, compreso un grave incidente di cibersicurezza, che incide negativamente sulla popolazione dell’Unione o su tutto o parte di uno Stato membro, con il rischio di ripercussioni gravi e durature sulle condizioni di vita o sulla stabilità economica, sulla stabilità finanziaria, o di un sostanziale e immediato degrado delle risorse economiche nell’Unione o nello Stato membro o negli Stati membri interessati e che è determinata o dichiarata ufficialmente in conformità delle pertinenti procedure previste dal diritto dell’Unione o nazionale;

30)	« cliente»: una persona fisica o giuridica che ha instaurato un rapporto contrattuale con un fornitore di servizi di trattamento dei dati con l’obiettivo di utilizzare uno o più servizi di trattamento dei dati;

31)	« assistenti_virtuali»: software che può elaborare richieste, compiti o domande, compresi quelli basati su input sonori o scritti, gesti o movimenti, e che, sulla base di tali richieste, compiti o domande, fornisce accesso ad altri servizi o controlla le funzioni dei prodotti connessi;

32)	« risorse_digitali»: elementi in formato digitale, comprese le applicazioni, relativamente ai quali il cliente ha il diritto d’uso, indipendentemente dal rapporto contrattuale con il servizio di trattamento dei dati che intende abbandonare per passare a un altro;

33)	« infrastruttura_TIC_locale»: un’infrastruttura TIC e risorse informatiche possedute dal cliente, o da questi prese in locazione o noleggiate, situate nel centro dati del cliente stesso e operate dal cliente o da un terzo;

34)

« passaggio»: il processo che coinvolge un fornitore di servizi di trattamento dei dati di origine, un cliente di un servizio di trattamento dei dati e, ove pertinente, un fornitore di servizi di trattamento dei dati di destinazione, nel quale il cliente del servizio di trattamento dei dati passa dall’utilizzo di un servizio di trattamento dei dati all’utilizzo di un altro servizio di trattamento dei dati appartenente allo stesso_tipo_di_servizio, o un altro servizio, offerto da un diverso fornitore di servizi di trattamento dei dati, o a una infrastruttura_TIC_locale, anche mediante l’estrazione, la trasformazione e il caricamento dei dati;

35)	«tariffe di uscita dei dati»: le tariffe di trasferimento dei dati addebitate ai clienti per l’estrazione dei loro dati attraverso la rete dall’infrastruttura TIC di un fornitore di servizi di trattamento dei dati e l’invio ai sistemi di un diverso fornitore o a infrastrutture TIC locali;

36)

«tariffe di passaggio»: le tariffe diverse dalle spese standard di servizio o di risoluzione anticipata, imposte da un fornitore di servizi di trattamento dei dati a un cliente per le azioni imposte dal presente regolamento in caso di passaggio ai sistemi di un diverso fornitore o all’ infrastruttura_TIC_locale, comprese le tariffe di uscita dei dati;

37)

« equivalenza_funzionale»: il ripristino, sulla base dei dati esportabili e delle risorse_digitali del cliente, di un livello minimo di funzionalità nell’ambiente di un nuovo servizio di trattamento dei dati dello stesso_tipo_di_servizio dopo il processo di passaggio, laddove il servizio del trattamento dei dati di destinazione fornisce risultati sostanzialmente comparabili in risposta al medesimo input per le caratteristiche condivise fornite al cliente in virtù del contratto;

38)

« dati esportabili»: ai fini degli articoli da 23 a 31 e dell’articolo 35, i dati di ingresso e uscita, inclusi i meta dati, direttamente o indirettamente generati o cogenerati dall’utilizzo del servizio di trattamento dei dati da parte del cliente, a esclusione di risorse o dati protetti da diritti di proprietà intellettuale, o che costituiscono segreti commerciali, di fornitori di servizi di trattamento dei dati o di terzi;

39)	« contratto_intelligente»: un programma informatico utilizzato per l’esecuzione automatica di un accordo o di parte di esso utilizzando una sequenza di registrazioni elettroniche di dati e garantendone l’integrità e l’accuratezza del loro ordine cronologico;

40)	« interoperabilità»: la capacità di due o più spazi di dati o reti di comunicazione, sistemi, prodotti connessi, applicazioni, servizi di trattamento di dati o componenti di scambiare e utilizzare dati per svolgere le loro funzioni;

41)	«specifica di interoperabilità aperta»: una specifica tecnica delle tecnologie dell’informazione e della comunicazione, orientate alle prestazioni ai fini del conseguimento dell’ interoperabilità tra i servizi di trattamento dei dati;

42)	« specifiche_comuni»: un documento, diverso da una norma, contenente soluzioni tecniche che forniscono i mezzi per soddisfare determinati requisiti e obblighi stabiliti a norma del presente regolamento;

43)	« norma_armonizzata»: una norma_armonizzata, quale definita all’articolo 2, punto 1, lettera c), del regolamento (UE) n. 1025/2012.

CAPO II

CONDIVISIONE DEI DATI DA IMPRESA A CONSUMATORE E DA IMPRESA A IMPRESA

Articolo 6

Obblighi dei terzi che ricevono dati su richiesta dell’ utente

1. Un terzo tratta i dati messi a sua disposizione a norma dell’articolo 5 solo per le finalità e alle condizioni concordate con l’ utente e fatti salvi il diritto dell’Unione e nazionale in materia di protezione dei dati personali compresi i diritti dell’ interessato per quanto riguarda i dati personali. Il terzo cancella i dati quando non sono più necessari per la finalità concordata, salvo diverso accordo con l’ utente relativamente ai dati non personali.

2. Il terzo:

non rende indebitamente difficile l’esercizio da parte dell’ utente delle scelte o dei diritti a norma dell’articolo 5 e del presente articolo, magari offrendogli scelte in modo non neutrale, o ricorrendo a mezzi coercitivi, ingannevoli o manipolatori nei suoi confronti, o compromettendone o pregiudicandone l’autonomia, il processo decisionale o le scelte, anche mediante un’interfaccia utente digitale o una sua parte;

b)	fatto salvo l’articolo 22, paragrafo 2, lettere a) e c), del regolamento (UE) 2016/679, non utilizza i dati che riceve per la profilazione, a meno che ciò non sia necessario per fornire il servizio richiesto dall’ utente;

non mette a disposizione di altri terzi i dati che riceve, a meno che i dati siano messi a disposizione sulla base di un contratto con l’ utente e a condizione che l’altro terzo adotti tutte le misure necessarie concordate tra il titolare dei dati e il terzo per preservare la riservatezza dei segreti commerciali;

d)	non mette i dati che riceve a disposizione di un’ impresa designata come gatekeeper a norma dell’articolo 3 del regolamento (UE) 2022/1925;

non utilizza i dati che riceve per sviluppare un prodotto in concorrenza con il prodotto_connesso da cui provengono i dati consultati né condivide i dati con un altro terzo a tal fine; i terzi non utilizzano inoltre alcun dato non personale del prodotto o di un servizio_correlato messo a loro disposizione per ottenere informazioni sulla situazione economica, sulle risorse e sui metodi di produzione del titolare dei dati o sull’utilizzo da parte di quest’ultimo;

f)	non utilizza i dati che riceve in modo tale da avere un impatto negativo sulla sicurezza del prodotto_connesso o del servizio_correlato;

g)	non disattende le misure specifiche concordate con il titolare dei dati o con il detentore dei segreti commerciali a norma dell’articolo 5, paragrafo 9, né pregiudica la riservatezza dei segreti commerciali;

h)	non impedisce all’ utente che è anche consumatore, neanche in base a un contratto, di mettere i dati che riceve a disposizione di altre parti.

Articolo 18

Soddisfacimento delle richieste di dati

1. Il titolare dei dati che riceve una richiesta di mettere i dati a disposizione a norma del presente capo mette i dati a disposizione dell’ ente_pubblico o della Commissione, della Banca centrale europea o di un organismo dell’Unione richiedente senza indebito ritardo, tenendo conto delle misure tecniche, organizzative e giuridiche necessarie.

2. Fatte salve le esigenze specifiche relative alla disponibilità dei dati definite nel diritto dell’Unione o nazionale, un titolare dei dati può rifiutare o chiedere la modifica di una richiesta di mettere i dati a disposizione ai sensi del presente capo senza indebito ritardo e, in ogni caso, entro cinque giorni lavorativi dal ricevimento di una richiesta di dati necessari per rispondere a un’ emergenza_pubblica e senza indebito ritardo e, in ogni caso, entro 30 giorni lavorativi dal ricevimento di tale richiesta in altri casi di necessità eccezionale, per uno dei motivi seguenti:

a)	il titolare dei dati non ha il controllo sui dati richiesti;

b)	un altro ente_pubblico, o la Commissione, la Banca centrale europea o un organismo dell’Unione ha presentato in precedenza una richiesta analoga per la stessa finalità e al titolare dei dati non è stata notificata la cancellazione dei dati a norma dell’articolo 19, paragrafo 1, lettera c);

c)	la richiesta non soddisfa le condizioni di cui all’articolo 17, paragrafi 1 e 2.

3. Se decide di rifiutare la richiesta o di chiederne la modifica a norma del paragrafo 2, lettera b), il titolare dei dati indica l’identità dell’ ente_pubblico o della Commissione, della Banca centrale europea o dell’organismo dell’Unione che ha presentato in precedenza una richiesta per la stessa finalità.

4. Se l’insieme di dati richiesto include dati personali, il titolare dei dati anonimizza adeguatamente i dati, a meno che il soddisfacimento della richiesta di mettere i dati a disposizione di un ente_pubblico, della Commissione, della Banca centrale europea o di un organismo dell’Unione imponga la divulgazione di dati personali. In tali casi il titolare dei dati pseudonimizza i dati .

5. Se l’ ente_pubblico, la Commissione, la Banca centrale europea o l’organismo dell’Unione intende contestare il rifiuto del titolare dei dati di fornire i dati richiesti o se il titolare dei dati intende contestare la richiesta e la questione non può essere risolta mediante opportuna modifica della stessa, la questione è sottoposta all’autorità competente, designata ai sensi dell’articolo 37, dello Stato membro in cui è stabilito il titolare dei dati.

Articolo 25

Clausole contrattuali relative al passaggio

1. I diritti del cliente e gli obblighi del fornitore di servizi di trattamento dei dati in relazione al passaggio da un fornitore di tali servizi a un altro o, se del caso, a un’ infrastruttura_TIC_locale sono chiaramente definiti in un contratto scritto. Il fornitore di servizi di trattamento dei dati mette il contratto a disposizione del cliente prima della firma del contratto in modo da consentire al cliente di conservare e riprodurre il contratto.

2. Fatta salva la direttiva (UE) 2019/770, il contratto di cui al paragrafo 1 del presente articolo comprende almeno i seguenti elementi:

clausole che autorizzano il cliente, su richiesta, a passare a un servizio di trattamento dei dati offerto da un diverso fornitore di servizi di trattamento dei dati o a trasferire tutti i dati, e le risorse_digitali esportabili in un’ infrastruttura_TIC_locale, senza indebito ritardo e in ogni caso non oltre un periodo transitorio massimo obbligatorio di 30 giorni di calendario da far partire dopo il termine massimo di preavviso di cui alla lettera d), durante il quale il contratto di servizio resta applicabile e il fornitore di servizi di trattamento dei dati:

i)	fornisce un’assistenza ragionevole al cliente e ai terzi da questi autorizzati nel processo di passaggio;

ii)	agisce con la diligenza dovuta per mantenere la continuità operativa e prosegue la fornitura delle funzioni o dei rispettivi servizi nell’ambito del contratto;

iii)	fornisce informazioni chiare sui rischi noti per la continuità della fornitura delle funzioni o dei servizi da parte del fornitore di servizi di trattamento dei dati di origine;

iv)

garantisce il mantenimento di un elevato livello di sicurezza durante l’intero processo di passaggio, in particolare la sicurezza dei dati durante il loro trasferimento e la continuità della sicurezza dei dati durante il periodo di conservazione di cui alla lettera g), in conformemente al diritto dell’Unione o nazionale applicabile;

b)	l’obbligo per il fornitore di servizi di trattamento dei dati di sostenere la strategia di uscita del cliente in relazione ai servizi a contratto, anche fornendo tutte le informazioni pertinenti;

una clausola in cui si specifica che il contratto si considera risolto e che la risoluzione è notificata al cliente in uno dei seguenti casi:

i)	ove applicabile, una volta completato con successo il processo di passaggio;

ii)	alla fine del termine massimo di preavviso di cui alla lettera d), nel caso in cui il cliente non desideri passare a un altro fornitore ma cancellare i suoi dati esportabili e le sue risorse_digitali al momento della cessazione del servizio;

d)	un termine massimo di preavviso per l’avvio del processo di passaggio, non superiore a due mesi;

e)	un’indicazione specifica dettagliata di tutte le categorie di dati e risorse_digitali che possono essere trasferite durante il processo di passaggio, compresi almeno tutti i dati esportabili;

un’indicazione specifica dettagliata delle categorie di dati specifiche al funzionamento interno dei servizi di trattamento dei dati del fornitore che devono essere esentate dai dati esportabili di cui alla lettera e) del presente paragrafo qualora esista un di rischio di violazione dei segreti commerciali del fornitore; a condizione che tali esenzioni non ostacolino o ritardino il processo di passaggio di cui all’articolo 23;

g)	un periodo minimo di almeno 30 giorni di calendario per il recupero dei dati, a decorrere dalla fine del periodo transitorio concordato tra il cliente e il fornitore di servizi di trattamento dei dati, conformemente alla lettera a) del presente paragrafo e al paragrafo 4;

una clausola che garantisce la completa cancellazione di tutti i dati e a risorse_digitali esportabili generati direttamente dal cliente, o che lo riguardano direttamente, dopo la scadenza del periodo di cui alla lettera g) o dopo la scadenza di un periodo alternativo concordato che sia successiva alla data di scadenza del periodo di conservazione di cui alla lettera g), a condizione che il processo di passaggio sia stato completato con successo;

i)	le tariffe di passaggio che possono essere imposte dai fornitori di servizi di trattamento dei dati a norma dell’articolo 29.

3. Il contratto, di cui al paragrafo 1, include le clausole in virtù delle quali il cliente può notificare al fornitore di servizi di trattamento dei dati la sua decisione di eseguire una o più delle azioni seguenti al termine del periodo di preavviso massimo, di cui al paragrafo 2, lettera d):

a)	passare a un diverso fornitore di servizi di trattamento dei dati, nel qual caso il cliente fornisce le informazioni necessarie su tale fornitore;

b)	passare a un’ infrastruttura_TIC_locale;

c)	cancellare i suoi dati esportabili e le sue risorse_digitali.

4. Se è tecnicamente impossibile attuare il periodo transitorio massimo obbligatorio di cui al paragrafo 2, lettera a), il fornitore di servizi di trattamento dei dati informa in merito il cliente entro 14 giorni lavorativi dalla presentazione della richiesta di passaggio, motiva debitamente l’impossibilità tecnica e indica un periodo transitorio alternativo, che non supera i sette mesi. In conformità del paragrafo 1, la continuità del servizio è garantita per tutto il periodo transitorio alternativo.

5. Fatto salvo il paragrafo 4, il contratto di cui al paragrafo 1, include clausole che conferiscono al cliente il diritto di prorogare il periodo transitorio una volta, per un periodo che il cliente considera più appropriato per i propri fini.

Articolo 26

Obbligo di informazione per i fornitori di servizi di trattamento dei dati

Il fornitore di servizi di trattamento dei dati fornisce al cliente:

informazioni sulle procedure disponibili per il passaggio e la portabilità al servizio di trattamento dei dati, comprese informazioni sui metodi e i formati di passaggio e di portabilità disponibili, nonché sulle restrizioni e le limitazioni tecniche note al fornitore di servizi di trattamento dei dati;

un riferimento a un registro online aggiornato ospitato dal fornitore di servizi di trattamento dei dati, con informazioni dettagliate su tutte le strutture e i formati dei dati nonché le norme pertinenti e le specifiche di interoperabilità aperte, in cui devono essere disponibili i dati esportabili di cui all’articolo 24, paragrafo 2, lettera e).

Articolo 30

Aspetti tecnici del passaggio

1. I fornitori di servizi di trattamento dei dati concernenti risorse informatiche scalabili ed elastiche limitate a elementi infrastrutturali quali server, reti e risorse virtuali necessarie per il funzionamento dell’infrastruttura, che non forniscono tuttavia accesso ad applicazioni, servizi e software operativi memorizzati, altrimenti trattati o installati su tali elementi infrastrutturali, adottano, conformemente all’articolo 27, tutte le misure ragionevoli in loro potere per far sì che il cliente, dopo il passaggio a un servizio che copre lo stesso_tipo_di_servizio, raggiunga l’ equivalenza_funzionale nell’utilizzo del servizio del trattamento dei dati di destinazione. Il fornitore di servizi di trattamento dei dati di origine agevola il processo di passaggio fornendo capacità, sufficienti informazioni, documentazione, assistenza tecnica e, se del caso, gli strumenti necessari.

2. I fornitori di servizi di trattamento dei dati, diversi da quelli di cui al paragrafo 1, rendono disponibili a titolo gratuito interfacce aperte in egual misura per tutti i loro clienti e i fornitori di servizi di destinazione interessati al fine di agevolare il processo di passaggio. Tali interfacce includono informazioni sufficienti sul servizio in questione onde permettere lo sviluppo di software per comunicare con i servizi, ai fini della portabilità e dell’ interoperabilità dei dati.

3. Per i servizi di trattamento dei dati diversi da quelli di cui al paragrafo 1 del presente articolo, i fornitori di servizi di trattamento dei dati garantiscono la compatibilità con specifiche_comuni basate sulle specifiche di interoperabilità aperte o norme armonizzate per l’ interoperabilità almeno 12 mesi dopo la pubblicazione dei riferimenti a tali specifiche_comuni o norme armonizzate per l’ interoperabilità di servizi di trattamento dei dati, nell’archivio centrale dell’Unione delle norme per l’ interoperabilità dei servizi di trattamento dei dati, a seguito della pubblicazione degli atti di esecuzione di base nella Gazzetta ufficiale dell’Unione europea, in conformità dell’articolo 35, paragrafo 7.

4. I fornitori di servizi di trattamento dei dati diversi da quelli di cui al paragrafo 1 del presente articolo aggiornano il registro online di cui all’articolo 26, lettera b), conformemente agli obblighi di cui al paragrafo 3 del presente articolo.

5. In caso di passaggio tra servizi dello stesso_tipo_di_servizio, per i quali le specifiche_comuni o le norme armonizzate per l’ interoperabilità di cui al paragrafo 3 del presente articolo non siano state pubblicate nell’archivio centrale dell’Unione delle norme per l’ interoperabilità dei servizi di trattamento dei dati a norma dell’articolo 35, paragrafo 8, il fornitore dei servizi di trattamento dei dati esporta, su richiesta del cliente, tutti i dati esportabili in un formato strutturato, di uso comune e leggibile da dispositivo automatico.

6. I fornitori di servizi di trattamento dei dati non sono tenuti a sviluppare nuove tecnologie o servizi, o a comunicare o trasferire risorse_digitali che sono protette da diritti di proprietà intellettuale o che costituiscono un segreto_commerciale, a un cliente o a un diverso fornitore di servizi di trattamento dei dati, né a compromettere la sicurezza e l’integrità del servizio del cliente o del fornitore.

Articolo 31

Regime specifico per taluni servizi di trattamento dei dati

1. Gli obblighi di cui all’articolo 23, lettera d), all’articolo 29 e all’articolo 30, paragrafi 1 e 3, non si applicano ai servizi di trattamento dei dati le cui caratteristiche principali siano state per la maggior parte personalizzate al fine di soddisfare le esigenze specifiche di un singolo cliente, o i cui componenti siano stati tutti sviluppati per le finalità di un singolo cliente, e qualora tali servizi di trattamento dei dati non siano offerti su vasta scala commerciale tramite il catalogo di servizi del fornitore di servizi di trattamento dei dati.

2. Gli obblighi di cui al presente capo non si applicano ai servizi di trattamento dei dati forniti come versione non destinata alla produzione, a fini di prova e valutazione e per un periodo limitato di tempo.

3. Prima della conclusione di un contratto sulla fornitura dei servizi di trattamento dei dati di cui al presente articolo, il fornitore di servizi di trattamento dei dati informa il potenziale cliente degli obblighi del presente capo che non si applicano.

CAPO VII

ACCESSO GOVERNATIVO E TRASFERIMENTO INTERNAZIONALI DI DATI NON PERSONALI

Articolo 33

Requisiti essenziali in materia di interoperabilità dei dati, dei meccanismi e servizi di condivisione dei dati nonché degli spazi comuni europei di dati

1. Per facilitare l’ interoperabilità dei dati , dei meccanismi e servizi di condivisione dei dati nonché degli spazi comuni europei di dati, che costituiscono quadri interoperabili per scopi specifici, settoriali o intersettoriali di norme e prassi comuni per condividere o trattare congiuntamente i dati, anche per lo sviluppo di nuovi prodotti e servizi, della ricerca scientifica o di iniziative della società civile, i partecipanti agli spazi di dati che offrono dati o servizi di dati ad altri partecipanti rispettano i requisiti essenziali seguenti:

il contenuto degli insiemi di dati, le restrizioni all’uso, le licenze, la metodologia di raccolta dei dati e la qualità e l’incertezza dei dati sono descritti, se del caso in un formato leggibile da dispositivo automatico, in modo sufficiente a consentire al destinatario di trovare i dati, accedervi e utilizzarli;

b)	le strutture e i formati dei dati, i vocabolari, gli schemi di classificazione, le tassonomie e gli elenchi dei codici, se disponibili, sono descritti in modo accessibile al pubblico e coerente;

i mezzi tecnici per accedere ai dati, quali le interfacce di programmazione delle applicazioni (API), e le relative condizioni d’uso e di qualità del servizio sono descritti in modo sufficiente a consentire l’accesso automatico ai dati e la relativa trasmissione automatica tra le parti, anche in modo continuo, in download in blocco o in tempo reale, in un formato leggibile da dispositivo automatico, qualora tecnicamente fattibile e non di ostacolo al buon funzionamento del prodotto_connesso;

d)	se del caso, sono forniti i mezzi per consentire l’ interoperabilità degli strumenti concepiti per automatizzare l’esecuzione degli accordi di condivisione dei dati, ad esempio i contratti intelligenti.

Tali requisiti possono avere carattere generico o riguardare settori specifici, tenendo pienamente conto dell’interrelazione con i requisiti derivanti dal diritto dell’Unione o nazionale.

2. Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 45 per integrare il presente regolamento specificando ulteriormente i requisiti essenziali di cui al paragrafo 1 del presente articolo, in relazione ai requisiti che, per loro natura, non sono in grado di produrre l’effetto atteso a meno che non siano ulteriormente specificati in atti giuridici vincolanti dell’Unione e al fine di riflettere adeguatamente gli sviluppi tecnologici e di mercato.

La Commissione, quando adotta atti delegati, tiene conto dei pareri dell’EDIB conformemente all’articolo 42, lettera c), punto iii).

3. Si presume che i partecipanti agli spazi di dati che offrono dati o servizi di dati ad altri partecipanti agli spazi di dati che soddisfano le norme armonizzate o parti di esse, i cui riferimenti sono pubblicati nella Gazzetta ufficiale dell’Unione europea, siano conformi ai requisiti essenziali di cui al paragrafo 1 nella misura in cui tali requisiti sono contemplati da tali norme armonizzate o parti di esse.

4. Conformemente all’articolo 10 del regolamento (UE) n. 1025/2012, la Commissione chiede a una o più organizzazioni europee di normazione di elaborare norme armonizzate che soddisfino i requisiti essenziali di cui al paragrafo 1 del presente articolo.

5. La Commissione può adottare, mediante atti di esecuzione, specifiche_comuni che contemplino uno o tutti i requisiti essenziali di cui al paragrafo 1 laddove siano state soddisfatte le condizioni seguenti:

la Commissione ha chiesto, a norma dell’articolo 10, paragrafo 1, del regolamento (UE) n. 1025/2012, a una o più organizzazioni europee di normazione di elaborare una norma_armonizzata che soddisfi i requisiti essenziali di cui al paragrafo 1 del presente articolo e:

i)	la richiesta non è stata accettata;

ii)	le norme armonizzate che rispondono a tale richiesta non sono ultimati entro una determinata scadenza a norma dell’articolo 10, paragrafo 1, del regolamento (UE) n. 1025/2012; oppure

iii)	le norme armonizzate non sono conformi alla richiesta; e

nessun riferimento a norme armonizzate che contemplino i requisiti essenziali pertinenti di cui al paragrafo 1 del presente articolo è pubblicato nella Gazzetta ufficiale dell’Unione europea conformemente al regolamento (UE) n. 1025/2012 e non si prevede la pubblicazione di tale riferimento entro un termine ragionevole.

Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 46, paragrafo 2.

6. Prima di preparare un progetto di atto di esecuzione di cui al paragrafo 5 del presente articolo, la Commissione comunica al comitato di cui all’articolo 22 del regolamento (UE) n. 1025/2012 che ritiene soddisfatte le condizioni di cui al paragrafo 5 del presente articolo.

7. Nel preparare il progetto di atto di esecuzione di cui al paragrafo 5, la Commissione tiene conto dei pareri del EDIB e di altri organismi o gruppi di esperti pertinenti e consulta debitamente tutti i pertinenti portatori di interessi.

8. Si presume che i partecipanti agli spazi di dati che offrono dati o servizi di dati ad altri partecipanti agli spazi di dati che soddisfano le specifiche_comuni stabilite da atti di esecuzione di cui al paragrafo 5 o parti di essi siano conformi ai requisiti essenziali di cui al paragrafo 1 nella misura in cui tali requisiti sono contemplati da tali specifiche_comuni o parti di esse.

9. Qualora una norma_armonizzata sia adottata da un’organizzazione europea di normazione e proposta alla Commissione ai fini della pubblicazione del suo riferimento nella Gazzetta ufficiale dell’Unione europea, la Commissione valuta la norma_armonizzata conformemente al regolamento (UE) n. 1025/2012. Qualora il riferimento di una norma_armonizzata sia pubblicato nella Gazzetta ufficiale dell’Unione europea, la Commissione abroga gli atti di esecuzione di cui al paragrafo 5 del presente articolo o parti di essi, che riguardano gli stessi requisiti essenziali contemplati da tali norme armonizzate.

10. Qualora uno Stato membro ritenga che una specifica comune non soddisfi completamene i requisiti essenziali di cui al paragrafo 1, esso ne informa la Commissione presentando una spiegazione dettagliata. La Commissione valuta tale spiegazione dettagliata e, se del caso, può modificare l’atto di esecuzione che stabilisce la specifica comune in questione.

11. La Commissione può adottare orientamenti, tenendo conto della proposta dell’EDIB conformemente all’articolo 30, lettera h), del regolamento (UE) 2022/868, che stabiliscono quadri interoperabili di norme e prassi comuni per il funzionamento degli spazi comuni europei di dati.

Articolo 35

Interoperabilità dei servizi di trattamento dei dati

1. Le specifiche di interoperabilità aperte e le norme armonizzate per l’ interoperabilità dei servizi di trattamento dei dati:

a)	conseguono ove tecnicamente fattibile, l’ interoperabilità tra diversi servizi di trattamento dei dati che riguardano lo stesso_tipo_di_servizio;

b)	aumentano la portabilità delle risorse_digitali tra diversi servizi di trattamento dei dati che riguardano lo stesso_tipo_di_servizio;

c)	facilitano, ove tecnicamente fattibile, l’ equivalenza_funzionale tra i diversi servizi di trattamento dei dati di cui all’articolo 30, paragrafo 1, che riguardano lo stesso_tipo_di_servizio ;

d)	non incidono negativamente sulla sicurezza e sull’integrità dei servizi di trattamento dei dati e dei dati stessi;

e)	sono concepite in modo tale da consentire i progressi tecnologici e l’inclusione di nuove funzioni e innovazioni nei servizi di trattamento dei dati.

2. Le specifiche di interoperabilità aperte e le norme armonizzate per l’ interoperabilità dei servizi di trattamento dei dati contemplano adeguatamente:

gli aspetti di interoperabilità del cloud per quanto riguarda l’ interoperabilità del trasporto, l’ interoperabilità sintattica, l’ interoperabilità semantica dei dati, l’ interoperabilità comportamentale e l’ interoperabilità in conformità del quadro organizzativo, giuridico e strategico (policy interoperability);

b)	gli aspetti della portabilità dei dati su cloud per quanto riguarda la portabilità sintattica dei dati, la portabilità semantica dei dati e la portabilità dei dati in conformità del quadro organizzativo, giuridico e strategico (data policy portability);

gli aspetti delle applicazioni su cloud per quanto riguarda la portabilità sintattica delle applicazioni, la portabilità delle istruzioni delle applicazioni, la portabilità dei meta dati delle applicazioni, la portabilità del comportamento delle applicazioni e la portabilità delle applicazioni in conformità del quadro organizzativo, giuridico e strategico (application policy portability).

3. Le specifiche di interoperabilità aperte rispettano l’allegato II del regolamento (UE) n. 1025/2012.

4. Conformemente all’articolo 10, paragrafo 1, del regolamento (UE) n. 1025/2012, la Commissione può chiedere a una o più organizzazioni europee di normazione di elaborare norme armonizzate che soddisfino i requisiti essenziali di cui ai paragrafi 1 e 2 del presente articolo, dopo aver tenuto conto delle norme internazionali ed europee pertinenti e delle iniziative di autoregolamentazione.

5. La Commissione può adottare, mediante atti di esecuzione, specifiche_comuni sulla base di specifiche basate sull’ interoperabilità aperte che contemplino tutti i requisiti essenziali di cui ai paragrafi 1 e 2.

6. Nel predisporre il progetto di atto di esecuzione di cui al paragrafo 5 del presente articolo, la Commissione tiene conto dei pareri delle autorità competenti pertinenti di cui all’articolo 37, paragrafo 5, lettera h), e di altri organismi o gruppi di esperti pertinenti e consulta debitamente tutti i pertinenti portatori di interessi.

7. Qualora uno Stato membro ritenga che una specifica comune non soddisfi completamente i requisiti essenziali di cui ai paragrafi 1 e 2, esso ne informa la Commissione presentando una spiegazione dettagliata. La Commissione valuta tale spiegazione dettagliata e, se del caso, può modifica l’atto di esecuzione che stabilisce la specifica comune in questione.

8. Ai fini dell’articolo 30, paragrafo 3, la Commissione pubblica, mediante atti di esecuzione, i riferimenti delle norme armonizzate e delle specifiche_comuni per l’ interoperabilità dei servizi di trattamento dei dati in un archivio centrale dell’Unione delle norme per l’ interoperabilità dei servizi di trattamento dei dati.

9. Gli atti di esecuzione di cui al presente articolo sono adottati secondo la procedura d’esame di cui all’articolo 46, paragrafo 2.

Articolo 36

Requisiti essenziali relativi ai contratti intelligenti per l’esecuzione degli accordi di condivisione dei dati

1. Il venditore di applicazioni che utilizzano contratti intelligenti o, in sua assenza, la persona la cui attività commerciale, imprenditoriale o professionale comporti l’implementazione di contratti intelligenti per altri nel contesto dell’esecuzione di un accordo, o parte di esso, di messa a disposizione dei dati, assicura che tali contratti intelligenti rispettino i requisiti essenziali seguenti:

a)	robustezza e controllo dell’accesso, garantire che il contratto_intelligente sia stato progettato in modo da offrire meccanismi di controllo dell’accesso e un grado di robustezza molto elevato per evitare errori funzionali e resistere alla manipolazione di terzi;

cessazione e interruzione sicure, per garantire che esista un meccanismo per cessare l’esecuzione continua delle transazioni e che contratto_intelligente comprenda funzioni interne che possano reimpostarlo o trasmettergli l’istruzione di fermare o interrompere il proprio funzionamento, in particolare per evitare esecuzioni accidentali future;

archiviazione e continuità dei dati, per garantire, nel caso in cui si debba procedere alla risoluzione o alla disattivazione di un contratto_intelligente, che vi sia la possibilità di archiviare i dati relativi alle transazioni nonché la logica e il codice del contratto_intelligente al fine di tenere traccia delle operazioni effettuate sui dati in passato (verificabilità);

d)	controllo dell’accesso, per garantire che un contratto_intelligente sia protetto mediante meccanismi rigorosi di controllo dell’accesso sul piano della governance e del contratto_intelligente; e

e)	coerenza, per garantire che si intende la coerenza con le clausole dell’accordo di condivisione dei dati che il contratto_intelligente esegue.

2. Il venditore di contratti intelligenti o, in sua assenza, la persona la cui attività commerciale, imprenditoriale o professionale comporti l’implementazione di contratti intelligenti per altri nel contesto dell’esecuzione di un accordo, o parte di esso, di messa a disposizione dei dati effettua una valutazione della conformità al fine di soddisfare i requisiti essenziali di cui al paragrafo 1 e, se tali requisiti sono soddisfatti, rilascia una dichiarazione di conformità UE.

3. Con la dichiarazione di conformità UE il venditore di applicazioni che utilizzano contratti intelligenti o, in sua assenza, la persona la cui attività commerciale, imprenditoriale o professionale comporti l’implementazione di contratti intelligenti per altri nel contesto dell’implementazione di un accordo, o parte di esso, di messa a disposizione dei dati, è responsabile del rispetto dei requisiti essenziali di cui al paragrafo 1.

4. Si presume che un contratto_intelligente che soddisfa le norme armonizzate o le pertinenti parti di tali norme, i cui riferimenti sono pubblicati nella Gazzetta ufficiale dell’Unione europea, sia conforme ai requisiti essenziali di cui al paragrafo 1 del presente articolo nella misura in cui tali requisiti sono contemplati da tali norme armonizzate o parti di esse.

5. Ai sensi dell’articolo 10 del regolamento (UE) n. 1025/2012, la Commissione chiede a una o più organizzazioni europee di normazione di elaborare norme armonizzate che soddisfino i requisiti essenziali di cui al paragrafo 1 del presente articolo.

6. La Commissione può adottare, mediante atti di esecuzione, specifiche_comuni che contemplino una o tutti i requisiti essenziali di cui al paragrafo 1 laddove siano state soddisfatte le condizioni seguenti:

i)	la richiesta non è stata accettata,

ii)	le norme armonizzate che rispondono a tale richiesta non sono ultimati entro una determinata scadenza a norma dell’articolo 10, paragrafo 1, del regolamento (UE) n. 1025/2012, oppure

iii)	le norme armonizzate non sono conformi alla richiesta; e

Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 46, paragrafo 2.

7. Prima di preparare un progetto di atto di esecuzione di cui al paragrafo 6 del presente articolo, la Commissione comunica al comitato di cui all’articolo 22 del regolamento (UE) n. 1025/2012 che ritiene soddisfatte le condizioni di cui al paragrafo 6 del presente articolo.

8. Nel preparare il progetto di atto di esecuzione di cui al paragrafo 6, la Commissione tiene conto dei pareri del EDIB e di altri organismi o gruppi di esperti pertinenti e consulta debitamente tutti i pertinenti portatori di interessi.

9. Si presume che il venditore di contratti intelligenti o, in sua assenza, la persona la cui attività commerciale, imprenditoriale o professionale comporti l’implementazione di contratti intelligenti per altri nel contesto dell’implementazione di un accordo, o parte di esso, di messa a disposizione dei dati che soddisfano le specifiche_comuni stabilite da atti di esecuzione di cui al paragrafo 5 o parti di essi sia conforme ai requisiti essenziali di cui al paragrafo 1 nella misura in cui tali requisiti sono contemplati da tali specifiche_comuni o parti di esse.

10. Qualora una norma_armonizzata sia adottata da un’organizzazione europea di normazione e proposta alla Commissione al fine di pubblicare il suo riferimento nella Gazzetta ufficiale dell’Unione europea, la Commissione valuta la norma_armonizzata conformemente al regolamento (UE) n. 1025/2012. Qualora il riferimento di una norma_armonizzata sia pubblicato nella Gazzetta ufficiale dell’Unione europea, la Commissione abroga gli atti di esecuzione di cui al paragrafo 6 del presente articolo, o parti di essi, che riguardano gli stessi requisiti essenziali contemplati da tali norme armonizzate.

11. Qualora uno Stato membro ritenga che una specifica comune non soddisfi completamene i requisiti essenziali di cui al paragrafo 1, esso ne informa la Commissione presentando una spiegazione dettagliata. La Commissione valuta tale spiegazione dettagliata e, se del caso, modifica l’atto di esecuzione che stabilisce la specifica comune in questione.

CAPO IX

ATTUAZIONE ED ESECUZIONE

Articolo 37

Autorità competenti e coordinatori dei dati

1. Ciascuno Stato membro designa una o più autorità competenti incaricate dell’applicazione e dell’esecuzione del presente regolamento (autorità competenti). Gli Stati membri possono istituire una o più nuove autorità o fare affidamento sulle autorità esistenti.

2. Qualora uno Stato membro designi più di un’autorità competente, tra di esse designa un coordinatore dei dati per facilitare la cooperazione tra le autorità competenti e per assistere le entità che rientrano nell’ambito di applicazione del presente regolamento su tutte le questioni relative alla sua applicazione ed esecuzione. Le autorità competenti, nell’esercizio dei compiti e dei poteri ad esse assegnati a norma del paragrafo 5, cooperano tra loro.

3. Le autorità di controllo incaricate di sorvegliare l’applicazione del regolamento (UE) 2016/679 sono incaricate di sorvegliare l’applicazione del presente regolamento per quanto riguarda la protezione dei dati personali. I capi VI e VII del regolamento (UE) 2016/679 si applicano mutatis mutandis.

Il Garante europeo della protezione dei dati è incaricato di monitorare l’applicazione del presente regolamento nella misura in cui riguarda la Commissione, la Banca centrale europea o gli organismi_dell’Unione. Ove pertinente, l’articolo 62 del regolamento (UE) 2018/1725 si applica mutatis mutandis.

I compiti e i poteri delle autorità di controllo di cui al presente paragrafo sono esercitati in relazione al trattamento dei dati personali.

4. Fatto salvo il paragrafo 1 del presente articolo:

a)	per questioni specifiche concernenti l’accesso ai dati settoriali e il loro utilizzo relative all’attuazione del presente regolamento è rispettata la competenza delle autorità settoriali;

b)	l’autorità competente incaricata dell’applicazione e dell’esecuzione degli articoli da 23 a 31 e degli articoli 34 e 35 ha esperienza nel campo dei dati e dei servizi di comunicazioni elettroniche.

5. Gli Stati membri provvedono affinché i compiti e poteri delle autorità competenti siano chiaramente definiti e comprendano:

a)	la promozione dell’ alfabetizzazione_in_materia_di_ dati e la sensibilizzazione degli utenti e delle entità che rientrano nell’ambito di applicazione del presente regolamento in merito ai diritti e agli obblighi a norma del presente regolamento;

il trattamento dei reclami derivanti da presunte violazioni del presente regolamento, anche in relazione a segreti commerciali, lo svolgimento di indagini, nella misura appropriata, sull’oggetto dei reclami e la periodica trasmissione di informazioni ai reclamanti, conformemente al diritto nazionale se del caso, in merito allo stato e all’esito delle indagini entro un termine ragionevole, in particolare ove siano necessari ulteriori indagini o il coordinamento con un’altra autorità competente;

c)	lo svolgimento di indagini su questioni relative all’applicazione del presente regolamento, anche sulla base di informazioni ricevute da un’altra autorità competente o da un’altra autorità pubblica;

d)	l’inflizione di sanzioni pecuniarie effettive, proporzionate e dissuasive che possono includere sanzioni periodiche e sanzioni con effetto retroattivo, o l’avvio di procedimenti giudiziari per l’inflizione di ammende;

e)	il monitoraggio degli sviluppi tecnologici e dei pertinenti sviluppi commerciali rilevanti per la messa a disposizione e l’utilizzo dei dati;

la cooperazione con le autorità competenti di altri Stati membri e, ove opportuno, con la Commissione o l’EDIB per garantire l’applicazione coerente ed efficiente del presente regolamento, compreso lo scambio di tutte le informazioni pertinenti per via elettronica, senza indebito ritardo, anche per quanto riguarda il paragrafo 10 del presente articolo;

la cooperazione con le autorità competenti pertinenti incaricate dell’attuazione di altri atti giuridici dell’Unione o nazionali, comprese le autorità competenti nel campo dei dati e dei servizi di comunicazioni elettroniche, l’autorità di controllo incaricata di sorvegliare l’applicazione del regolamento (UE) 2016/679 o le autorità settoriali, per garantire che il presente regolamento sia applicato coerentemente con il diritto dell’Unione e nazionale;

h)	la cooperazione con le autorità competenti pertinenti per garantire che gli articoli da 23 a 31 e gli articoli 34 e 35 siano applicati coerentemente con altro diritto dell’Unione e misure di autoregolamentazione applicabili ai fornitori di servizi di trattamento dei dati;

i)	la garanzia che le tariffe per il passaggio siano abolite conformemente all’articolo 29;

j)	l’esame delle richieste di dati presentate a norma del capo V.

Laddove designato, il coordinatore dei dati facilita la cooperazione di cui alle lettere f), g) e h), del primo comma e assiste le autorità competenti su loro richiesta.

6. Il coordinatore dei dati, laddove tale autorità competenti sia stata designata:

a)	funge da punto di contatto unico per tutte le questioni relative all’applicazione del presente regolamento;

b)	garantisce che le richieste di messa a disposizione dei dati presentate da enti pubblici in caso di eccezionale necessità a norma del capo V siano pubblicamente disponibili online e promuove accordi di condivisione dei dati volontari tra enti pubblici e titolari dei dati;

c)	informa la Commissione, su base annua, dei rifiuti notificati a norma dell’articolo 4, paragrafi 2 e 8, e dell’articolo 5, paragrafo 11.

7. Gli Stati membri notificano alla Commissione i nomi delle autorità competenti designate e i compiti e poteri e, ove opportuno, il nome del coordinatore dei dati. La Commissione tiene un registro pubblico di tali autorità.

8. Nello svolgimento dei loro compiti e nell’esercizio dei loro poteri conformemente al presente regolamento, le autorità competenti rimangono imparziali, non subiscono alcuna influenza esterna, diretta o indiretta, e non sollecitano né accettano istruzioni, per singoli casi, da altre autorità pubbliche o da privati.

9. Gli Stati membri provvedono affinché le autorità competenti dispongano delle risorse umane e tecniche sufficienti e delle opportune competenze per svolgere efficacemente i propri compiti conformemente al presente regolamento.

10. Le entità che rientrano nell’ambito di applicazione del presente regolamento sono soggette alla competenza dello Stato membro nel quale sono stabilite. Laddove l’entità sia stabilita in più di uno Stato membro, è considerata soggetta alla competenza dello Stato membro in cui ha lo stabilimento principale, ossia dove ha la sua amministrazione centrale o la sua sede sociale da cui esercita le principali funzioni finanziarie e il controllo operativo.

11. Qualsiasi entità rientrante nell’ambito di applicazione del presente regolamento che renda disponibili prodotti connessi o offra servizi correlati nell’Unione e che non sia stabilita nell’Unione designa un rappresentante legale in uno degli Stati membri.

12. Al fine di garantire la conformità al presente regolamento, il rappresentante legale riceve da un’entità rientrante nell’ambito di applicazione del presente regolamento che rende disponibili prodotti connessi o offre servizi correlati nell’Unione il mandato di essere interpellato oltre all’entità stessa o al suo posto dalle autorità competenti per quanto riguarda tutte le questioni relative a tale entità. Il rappresentante legale collabora con le autorità competenti e, su richiesta, dimostra loro in modo esauriente le misure adottate e le disposizioni messe in atto dall’entità rientrante nell’ambito di applicazione del presente regolamento che rende disponibili prodotti connessi o offre servizi correlati nell’Unione per garantire la conformità al presente regolamento.

13. Un’entità rientrante nell’ambito di applicazione del presente regolamento che rende disponibili prodotti connessi o offre servizi correlati nell’Unione è considerata soggetta alla giurisdizione dello Stato membro in cui è situato il suo rappresentante legale. La designazione di un rappresentante legale a cura di tale entità fa salve la responsabilità e le eventuali azioni legali che potrebbero essere promosse contro di essa. Fino a quando l’entità non avrà designato un rappresentante legale a norma del presente articolo, essa sarà soggetta alla competenza di tutti gli Stati membri, se del caso, al fine di garantire l’applicazione ed esecuzione del presente regolamento. Qualsiasi autorità competente può esercitare la propria competenza, anche infliggendo sanzioni effettive, proporzionate e dissuasive, a condizione che l’entità non sia soggetta a procedimenti esecutivi a norma del presente regolamento in relazione agli stessi fatti da parte di un’altra autorità competente.

14. Le autorità competenti hanno il potere di chiedere agli utenti, ai titolari dei dati o ai destinatari dei dati, ovvero ai loro rappresentanti legali, soggetti alla competenza del loro Stato membro tutte le informazioni necessarie a verificare la conformità al presente regolamento. Le richieste di informazioni sono motivate e proporzionate rispetto all’assolvimento del compito di base.

15. Se un’autorità competente di uno Stato membro chiede misure di assistenza o di esecuzione a un’autorità competente di un altro Stato membro, essa presenta una richiesta motivata. Al ricevimento di tale richiesta, l’autorità competente fornisce una risposta in cui si precisano le azioni che sono state adottate o che si prevede di adottare, senza indebito ritardo.

16. Le autorità competenti rispettano il principio di riservatezza e del segreto professionale e commerciale e tutelano i dati personali ai sensi del diritto dell’Unione o nazionale. Tutte le informazioni scambiate nel quadro di una richiesta di assistenza e fornite a norma del presente articolo sono utilizzate solo in relazione alla questione per cui sono state richieste.

whereas

keyboard_tab Data Act 2023/2854 IT

Data Act 2023/2854 IT