Digital Governance Act 2022/0868 IT

1)	« dati»: qualsiasi rappresentazione digitale di atti, fatti o informazioni e qualsiasi raccolta di tali atti, fatti o informazioni, anche sotto forma di registrazione sonora, visiva o audiovisiva;

« riutilizzo»: l'utilizzo di dati in possesso di enti pubblici da parte di persone fisiche o giuridiche a fini commerciali o non commerciali diversi dallo scopo iniziale nell'ambito dei compiti di servizio pubblico per i quali i dati sono stati prodotti, fatta eccezione per lo scambio di dati tra enti pubblici esclusivamente in adempimento dei loro compiti di servizio pubblico;

3)	« dati personali»: i dati personali quali definiti all'articolo 4, punto 1, del regolamento (UE) 2016/679;

4)	« dati non personali»: i dati diversi dai dati personali;

5)	« consenso»: consenso quale definito all'articolo 4, punto 11, del regolamento (UE) 2016/679;

6)	« autorizzazione»: il conferimento agli utenti dei dati del diritto al trattamento dei dati non personali;

7)	« interessato»: l' interessato ai sensi dell'articolo 4, punto 1, del regolamento (UE) 2016/679;

«titolare dei dati»: una persona giuridica, compresi gli enti pubblici e le organizzazioni internazionali, o una persona fisica che non è l' interessato rispetto agli specifici dati in questione e che, conformemente al diritto dell'Unione o nazionale applicabile, ha il diritto di concedere l' accesso a determinati dati personali o dati non personali o di condividerli;

9)	«utente dei dati»: una persona fisica o giuridica che ha accesso legittimo a determinati dati personali o non personali e che ha diritto, anche a norma del regolamento (UE) 2016/679 in caso di dati personali, a utilizzare tali dati a fini commerciali o non commerciali;

10)

«condivisione dei dati»: la fornitura di dati da un interessato o un titolare dei dati a un utente dei dati ai fini dell'utilizzo congiunto o individuale di tali dati, sulla base di accordi volontari o del diritto dell'Unione o nazionale, direttamente o tramite un intermediario, ad esempio nel quadro di licenze aperte o commerciali, dietro compenso o a titolo gratuito;

11)

«servizio di intermediazione dei dati»: un servizio che mira a instaurare, attraverso strumenti tecnici, giuridici o di altro tipo, rapporti commerciali ai fini della condivisione dei dati tra un numero indeterminato di interessati e di titolari dei dati, da un lato, e gli utenti dei dati, dall'altro, anche al fine dell'esercizio dei diritti degli interessati in relazione ai dati personali, ad esclusione almeno di:

servizi che ottengono dati dai titolari dei dati e li aggregano, arricchiscono o trasformano al fine di aggiungervi un valore sostanziale e concedono licenze per l'utilizzo dei dati risultanti agli utenti dei dati, senza instaurare un rapporto commerciale tra i titolari dei dati e gli utenti dei dati;

b)	servizi il cui obiettivo principale è l'intermediazione di contenuti protetti da diritto d'autore;

servizi utilizzati esclusivamente da un titolare dei dati per consentire l'utilizzo dei dati detenuti da tale titolare dei dati, oppure utilizzati da varie persone giuridiche all'interno di un gruppo chiuso, anche nel quadro di rapporti con i fornitori o i clienti o di collaborazioni contrattualmente stabilite, in particolare quelli aventi come obiettivo principale quello di garantire la funzionalità di oggetti o dispositivi connessi all'internet delle cose;

d)	servizi di condivisione dei dati offerti da enti pubblici che non mirano a instaurare rapporti commerciali;

12)	« trattamento»: il trattamento quale definito all'articolo 4, punto 2, del regolamento (UE) 2016/679 in materia di dati personali o all'articolo 3, punto (2), del Regolamento (UE) 2018/1807 in materia di dati non personali;

13)	« accesso»: l'utilizzo dei dati, conformemente a specifici requisiti tecnici, giuridici o organizzativi, che non implica necessariamente la trasmissione o lo scaricamento di dati;

14)	« stabilimento_principale» di una persona giuridica: il luogo in cui è stabilita la sua amministrazione centrale nell'Unione;

15)

«servizi di cooperative di dati»: servizi di intermediazione dei dati offerti da una struttura organizzativa costituita da interessati, imprese individuali o da PMI, che sono membri di tale struttura, avente come obiettivi principali quelli di aiutare i propri membri nell'esercizio dei loro diritti in relazione a determinati dati, anche per quanto riguarda il compiere scelte informate prima di acconsentire al trattamento dei dati, di procedere a uno scambio di opinioni sulle finalità e sulle condizioni del trattamento dei dati che rappresenterebbero al meglio gli interessi dei propri membri in relazione ai loro dati, o di negoziare i termini e le condizioni per il trattamento dei dati per conto dei membri prima di concedere l' autorizzazione al trattamento dei dati non personali o prima che essi diano il loro consenso al trattamento dei dati personali;

16)

«altruismo dei dati»: la condivisione volontaria di dati sulla base del consenso accordato dagli interessati al trattamento dei dati personali che li riguardano, o sulle autorizzazioni di altri titolari dei dati volte a consentire l'uso dei loro dati non personali, senza la richiesta o la ricezione di un compenso che vada oltre la compensazione dei costi sostenuti per mettere a disposizione i propri dati, per obiettivi di interesse generale, stabiliti nel diritto nazionale, ove applicabile, quali l'assistenza sanitaria, la lotta ai cambiamenti climatici, il miglioramento della mobilità, l'agevolazione dell'elaborazione, della produzione e della divulgazione di statistiche ufficiali, il miglioramento della fornitura dei servizi pubblici, l'elaborazione delle politiche pubbliche o la ricerca scientifica nell'interesse generale;

17)	« ente_pubblico»: le autorità statali, regionali o locali, gli organismi_di_diritto_pubblico o le associazioni formate da una o più di tali autorità oppure da uno o più di tali organismi_di_diritto_pubblico;

18)

« organismi_di_diritto_pubblico»: gli organismi che hanno le caratteristiche seguenti:

a)	sono istituiti per soddisfare specificatamente bisogni d'interesse generale e non hanno carattere industriale o commerciale;

b)	sono dotati di personalità giuridica;

le loro attività sono finanziate in modo maggioritario dallo Stato, da autorità regionali o locali o da altri organismi_di_diritto_pubblico, o la loro gestione è soggetta alla supervisione da parte di tali autorità o organismi, oppure sono dotati di un organo di amministrazione, di direzione o di vigilanza in cui più della metà dei membri è designata dallo Stato, da autorità regionali o locali o da altri organismi_di_diritto_pubblico;

19)

« impresa_pubblica»: qualsiasi impresa su cui gli enti pubblici possono esercitare, direttamente o indirettamente, un'influenza dominante perché ne sono proprietari, vi hanno una partecipazione finanziaria, o in virtù di norme che disciplinano l'impresa in questione; ai fini della presente definizione si presume un'influenza dominante in uno qualsiasi dei seguenti casi in cui tali enti, direttamente o indirettamente:

a)	detengono la maggioranza del capitale sottoscritto dall'impresa;

b)	controllano la maggioranza dei voti cui danno diritto le azioni emesse dall'impresa;

c)	possono designare più della metà dei membri dell'organo di amministrazione, di direzione o di vigilanza dell'impresa;

20)

«ambiente di trattamento sicuro»: l'ambiente fisico o virtuale e i mezzi organizzativi per garantire la conformità al diritto dell'Unione, quale il regolamento (UE) 2016/679, in particolare per quanto riguarda i diritti degli interessati, i diritti di proprietà intellettuale e la riservatezza commerciale e statistica, l'integrità e l'accessibilità, per garantire il rispetto del diritto dell'Unione e nazionale applicabile, e per consentire all'entità che fornisce l'ambiente di trattamento sicuro di determinare e controllare tutte le azioni di trattamento dei dati, compresi la visualizzazione, la conservazione, lo scaricamento, l'esportazione dei dati e il calcolo dei dati derivati mediante algoritmi computazionali;

21)

« rappresentante_legale»: una persona fisica o giuridica stabilita nell'Unione esplicitamente designata ad agire per conto di un fornitore di servizi di intermediazione dei dati non stabilito nell'Unione o di un'entità non stabilita nell'Unione che raccoglie dati per obiettivi di interesse generale messi a disposizione da persone fisiche o giuridiche sulla base dell'altruismo dei dati, che può essere interpellata dalle autorità nazionali competenti per i servizi di intermediazione dei dati e dalle autorità competenti per la registrazione delle organizzazioni per l'altruismo dei dati in aggiunta o in sostituzione del fornitore di servizi di intermediazione dei dati o dell'entità in relazione agli obblighi a norma del presente regolamento, anche per quanto riguarda l'avvio di un procedimento esecutivo contro un prestatore di servizi di intermediazione dei dati o un'entità inadempiente non stabilito nell'Unione.

CAPo II

Riutilizzo di determinate categorie di dati protetti detenuti da enti pubblici

Articolo 2

Definizioni

Ai fini del presente regolamento si applicano le definizioni seguenti:

1)	« dati»: qualsiasi rappresentazione digitale di atti, fatti o informazioni e qualsiasi raccolta di tali atti, fatti o informazioni, anche sotto forma di registrazione sonora, visiva o audiovisiva;

3)	« dati personali»: i dati personali quali definiti all'articolo 4, punto 1, del regolamento (UE) 2016/679;

4)	« dati non personali»: i dati diversi dai dati personali;

5)	« consenso»: consenso quale definito all'articolo 4, punto 11, del regolamento (UE) 2016/679;

6)	« autorizzazione»: il conferimento agli utenti dei dati del diritto al trattamento dei dati non personali;

7)	« interessato»: l' interessato ai sensi dell'articolo 4, punto 1, del regolamento (UE) 2016/679;

9)	«utente dei dati»: una persona fisica o giuridica che ha accesso legittimo a determinati dati personali o non personali e che ha diritto, anche a norma del regolamento (UE) 2016/679 in caso di dati personali, a utilizzare tali dati a fini commerciali o non commerciali;

10)

11)

b)	servizi il cui obiettivo principale è l'intermediazione di contenuti protetti da diritto d'autore;

d)	servizi di condivisione dei dati offerti da enti pubblici che non mirano a instaurare rapporti commerciali;

12)	« trattamento»: il trattamento quale definito all'articolo 4, punto 2, del regolamento (UE) 2016/679 in materia di dati personali o all'articolo 3, punto (2), del Regolamento (UE) 2018/1807 in materia di dati non personali;

13)	« accesso»: l'utilizzo dei dati, conformemente a specifici requisiti tecnici, giuridici o organizzativi, che non implica necessariamente la trasmissione o lo scaricamento di dati;

14)	« stabilimento_principale» di una persona giuridica: il luogo in cui è stabilita la sua amministrazione centrale nell'Unione;

15)

16)

17)	« ente_pubblico»: le autorità statali, regionali o locali, gli organismi_di_diritto_pubblico o le associazioni formate da una o più di tali autorità oppure da uno o più di tali organismi_di_diritto_pubblico;

18)

« organismi_di_diritto_pubblico»: gli organismi che hanno le caratteristiche seguenti:

a)	sono istituiti per soddisfare specificatamente bisogni d'interesse generale e non hanno carattere industriale o commerciale;

b)	sono dotati di personalità giuridica;

19)

a)	detengono la maggioranza del capitale sottoscritto dall'impresa;

b)	controllano la maggioranza dei voti cui danno diritto le azioni emesse dall'impresa;

c)	possono designare più della metà dei membri dell'organo di amministrazione, di direzione o di vigilanza dell'impresa;

20)

21)

CAPo II

Riutilizzo di determinate categorie di dati protetti detenuti da enti pubblici

Articolo 5

Condizioni per il riutilizzo

1. Gli enti pubblici che, a norma del diritto nazionale, hanno facoltà di concedere o negare l' accesso per il riutilizzo di una o più delle categorie di dati di cui all'articolo 3, paragrafo 1, rendono pubbliche le condizioni per consentire tale riutilizzo nonché la procedura di richiesta del riutilizzo attraverso lo sportello unico di cui all'articolo 8. Qualora concedano o neghino l' accesso per il riutilizzo, possono essere assistiti dagli organismi competenti di cui all'articolo 7, paragrafo 1.

Gli Stati membri garantiscono che gli enti pubblici siano dotati delle necessarie risorse per conformarsi al presente articolo.

2. Le condizioni per il riutilizzo sono non discriminatorie, trasparenti, proporzionate e oggettivamente giustificate in relazione alle categorie di dati e alle finalità del riutilizzo e alla natura dei dati per i quali è consentito il riutilizzo. Tali condizioni non sono utilizzate per limitare la concorrenza.

3. Gli enti pubblici garantiscono, conformemente al diritto dell'Unione e nazionale, la tutela della natura protetta dei dati. Essi garantiscono il rispetto dei requisiti seguenti:

concedere l' accesso per il riutilizzo dei dati soltanto qualora l' ente_pubblico o l'organismo competente abbia garantito, in seguito alla richiesta di riutilizzo, che i dati sono stati:

i)	anonimizzati, nel caso di dati personali; e

ii)	modificati, aggregati o trattati mediante qualsiasi altro metodo di controllo della divulgazione, nel caso di informazioni commerciali riservate, compresi i segreti commerciali o i contenuti protetti da diritti di proprietà intellettuale;

b)	accedere ai dati e riutilizzare gli stessi da remoto all'interno di un ambiente di trattamento sicuro, fornito o controllato dall' ente_pubblico;

c)	accedere ai dati e riutilizzare gli stessi all'interno dei locali fisici in cui si trova l'ambiente di trattamento sicuro, rispettando rigorose norme di sicurezza, a condizione che l' accesso remoto non possa essere consentito senza compromettere i diritti e gli interessi di terzi.

4. In caso di riutilizzo consentito conformemente al paragrafo 3, lettere b) e c), gli enti pubblici impongono condizioni che preservino l'integrità del funzionamento dei sistemi tecnici dell'ambiente di trattamento sicuro utilizzato. L' ente_pubblico si riserva il diritto di verificare il processo, i mezzi e i risultati del trattamento dei dati effettuato dal riutilizzatore per tutelare l'integrità della protezione dei dati come anche il diritto di vietare l'uso dei risultati che contengono informazioni che compromettono i diritti e gli interessi di terzi. La decisione di vietare il riutilizzo dei risultati è comprensibile e trasparente per il riutilizzatore.

5. A meno che il diritto nazionale preveda tutele specifiche sugli obblighi di riservatezza applicabili relativi al riutilizzo dei dati di cui all'articolo 3, paragrafo 1, l' ente_pubblico subordina il riutilizzo dei dati forniti a norma del paragrafo 3 del presente articolo al rispetto, da parte del riutilizzatore, di un obbligo di riservatezza che vieti la divulgazione di qualsiasi informazione che comprometta i diritti e gli interessi di terzi e che il riutilizzatore possa aver acquisito malgrado le misure di tutela adottate. I riutilizzatori hanno il divieto di reidentificare gli interessati cui si riferiscono i dati e adottano misure tecniche e operative per impedire la reidentificazione e notificare all' ente_pubblico qualsiasi violazione dei dati che comporti la reidentificazione degli interessati. In caso di riutilizzo non autorizzato di dati non personali il riutilizzatore informa senza ritardo, se opportuno con l'assistenza dell' ente_pubblico, le persone giuridiche i cui diritti e interessi possono essere.

6. Qualora il riutilizzo dei dati non possa essere consentito in conformità degli obblighi di cui ai paragrafi 3 e 4 del presente articolo e non vi sia alcuna base giuridica per la trasmissione dei dati a norma del regolamento (UE) 2016/679, l' ente_pubblico si adopera al meglio, conformemente al diritto dell'Unione e nazionale, per fornire assistenza ai potenziali riutilizzatori nel richiedere il consenso degli interessati o l' autorizzazione dei titolari dei dati i cui diritti e interessi possono essere interessati da tale riutilizzo, ove ciò sia fattibile senza un onere sproporzionato per l' ente_pubblico. Qualora fornisca tale assistenza, l' ente_pubblico può essere assistito dagli organismi competenti di cui all'articolo 7, paragrafo 1.

7. Il riutilizzo dei dati è consentito solo nel rispetto dei diritti di proprietà intellettuale. Il diritto del costitutore di una banca di dati di cui all'articolo 7, paragrafo 1, della direttiva 96/9/CE non è esercitato dagli enti pubblici al fine di impedire il riutilizzo dei dati o di limitarlo oltre i limiti stabiliti dal presente regolamento.

8. Quando i dati richiesti sono considerati riservati, conformemente al diritto dell'Unione o nazionale in materia di riservatezza commerciale o statistica, gli enti pubblici provvedono affinché i dati riservati non siano divulgati in conseguenza all' autorizzazione di tale riutilizzo, a meno che tale riutilizzo non sia consentito a norma del paragrafo 6.

9. Qualora intenda trasferire a un paese terzo dati non personali protetti per i motivi di cui all'articolo 3, paragrafo 1, il riutilizzatore informa l' ente_pubblico della sua intenzione a trasferire tali dati e della finalità di tale trasferimento al momento della richiesta di riutilizzo di tali dati. In caso di riutilizzo a norma del paragrafo 6 del presente articolo, il riutilizzatore informa, se opportuno con l'assistenza dell' ente_pubblico, la persona giuridica i cui diritti e interessi possono essere interessati da tale intenzione, tale finalità e tali tutele adeguate. L' ente_pubblico non consente il riutilizzo a meno che la persona giuridica non dia l' autorizzazione al trasferimento.

10. Gli enti pubblici trasmettono dati riservati non personali o dati protetti da diritti di proprietà intellettuale a un riutilizzatore che intende trasferire tali dati a un paese terzo diverso da un paese designato in conformità del paragrafo 12 solo se il riutilizzatore si impegna contrattualmente:

a)	a rispettare gli obblighi imposti in conformità dei paragrafi 7 e 8 anche dopo il trasferimento dei dati al paese terzo; e

b)	ad accettare la competenza degli organi giurisdizionali dello Stato membro dell' ente_pubblico che trasmette i dati in merito a qualsiasi controversia relativa al rispetto dei paragrafi 7 e 8.

11. Gli enti pubblici forniscono, se del caso e nei limiti delle loro capacità, orientamenti e assistenza ai riutilizzatori affinché rispettino gli obblighi di cui al paragrafo 10 del presente articolo.

Al fine di assistere gli enti pubblici e i riutilizzatori, la Commissione può adottare atti di esecuzione che stabiliscano clausole contrattuali tipo per il rispetto degli obblighi di cui al paragrafo 10 del presente articolo. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 33, paragrafo 3.

12. Se giustificato da un numero considerevole di richieste in tutta l'Unione riguardanti il riutilizzo di dati non personali in determinati paesi terzi, la Commissione può adottare atti di esecuzione in cui si dichiara che le disposizioni legislative, di vigilanza e in materia di applicazione di un paese terzo:

a)	garantiscono una protezione della proprietà intellettuale e dei segreti commerciali sostanzialmente equivalente a quella garantita dal diritto dell'Unione;

b)	sono applicate e fatte rispettare in modo efficace; e

c)	consentono un ricorso giurisdizionale effettivo.

Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 33, paragrafo 3.

13. Specifici atti legislativi dell'Unione possono stabilire che determinate categorie di dati non personali detenuti da enti pubblici siano considerate altamente sensibili ai fini del presente articolo, laddove il loro trasferimento a paesi terzi possa mettere a rischio gli obiettivi di politica pubblica dell'Unione, quali la sicurezza e la salute pubblica, o possa comportare il rischio di una reidentificazione dei dati non personali anonimizzati. Qualora tale atto sia adottato, la Commissione adotta atti delegati conformemente all'articolo 32 al fine di integrare il presente regolamento stabilendo condizioni particolari applicabili ai trasferimenti di tali dati verso paesi terzi.

Tali condizioni particolari si basano sulla natura delle categorie di dati non personali individuate nello specifico atto legislativo dell'Unione e sui motivi per cui tali categorie sono considerate altamente sensibili, tenendo in considerazione il rischio di una reidentificazione dei dati non personali anonimizzati. Esse sono non discriminatorie e limitate a quanto necessario per conseguire gli obiettivi di politica pubblica dell'Unione individuati in tale atto, conformemente agli obblighi internazionali dell'Unione.

Qualora richiesto dagli atti legislativi specifici dell'Unione di cui al primo comma, tali condizioni particolari possono includere termini applicabili al trasferimento o alle modalità tecniche ad esso relative, limitazioni per quanto riguarda il riutilizzo di dati in paesi terzi o categorie di persone autorizzate a trasferire tali dati a paesi terzi o, in casi eccezionali, restrizioni per quanto riguarda i trasferimenti a paesi terzi.

14. La persona fisica o giuridica cui è stato concesso il diritto di riutilizzo dei dati non personali può trasferire i dati solo ai paesi terzi per i quali sono soddisfatti i requisiti di cui ai paragrafi 10, 12 e 13.

Articolo 6

Tariffe

1. Gli enti pubblici che consentono il riutilizzo delle categorie di dati di cui all'articolo 3, paragrafo 1, possono imporre tariffe per consentire il riutilizzo di tali dati.

2. Le tariffe imposte a norma del paragrafo 1 sono trasparenti, non discriminatorie, proporzionate e oggettivamente giustificate e non limitano la concorrenza.

3. Gli enti pubblici provvedono affinché le tariffe possano anche essere pagate online mediante servizi di pagamento transfrontalieri ampiamente diffusi, senza discriminazioni basate sul luogo di stabilimento del fornitore del servizio di pagamento, sul luogo di emissione dello strumento di pagamento o sull'ubicazione del conto di pagamento all'interno dell'Unione.

4. Qualora gli enti pubblici applichino tariffe, essi adottano misure per incentivare il riutilizzo delle categorie di dati di cui all'articolo 3, paragrafo 1, a fini non commerciali, quali la ricerca scientifica, e da parte delle PMI e delle start-up in conformità delle norme sugli aiuti di Stato. A tale riguardo, gli enti pubblici possono anche mettere a disposizione i dati a una tariffa ridotta o nulla, in particolare per le PMI e le start-up, la società civile e gli istituti di istruzione. A tal fine, gli enti pubblici possono stilare un elenco di categorie di riutilizzatori a cui i dati per il riutilizzo sono forniti a una tariffa ridotta o a titolo gratuito. Detto elenco è reso pubblico unitamente ai criteri adottati per la sua redazione.

5. L'ammontare di eventuali tariffe deriva dai costi relativi allo svolgimento del procedimento delle richieste di riutilizzo delle categorie di dati di cui all'articolo 3, paragrafo 1, e si limita ai costi necessari per:

a)	la riproduzione, la fornitura e la diffusione dei dati;

b)	l'acquisizione dei diritti;

c)	l'anonimizzazione o altre forme di preparazione dei dati personali e commerciali riservati di cui all'articolo 5, paragrafo 3;

d)	il mantenimento dell'ambiente di trattamento sicuro;

e)	l'acquisizione del diritto di consentire il riutilizzo a norma del presente capo da parte di terzi esterni al settore pubblico, nonché;

f)	l'assistenza ai riutilizzatori nel richiedere il consenso degli interessati e l' autorizzazione dei titolari dei dati i cui diritti e interessi possono essere interessati da tale riutilizzo.

6. I criteri e la metodologia di calcolo delle tariffe sono stabiliti dagli Stati membri e pubblicati. L' ente_pubblico pubblica una descrizione delle principali categorie di costi e delle regole utilizzate per la ripartizione dei costi.

Articolo 7

Organismi competenti

1. Ai fini della realizzazione dei compiti di cui al presente articolo, ciascuno Stato membro designa uno o più organismi competenti, che possono essere competenti per specifici settori, per assistere gli enti pubblici che concedono o rifiutano l' accesso al riutilizzo delle categorie di dati di cui all'articolo 3, paragrafo 1. Gli Stati membri possono istituire uno o più organismi competenti nuovi o avvalersi di enti pubblici esistenti o di servizi interni di enti pubblici che soddisfano le condizioni stabilite dal presente regolamento.

2. Gli organismi competenti possono inoltre essere abilitati a concedere l' accesso per il riutilizzo delle categorie di dati di cui all'articolo 3, paragrafo 1, a norma del diritto dell'Unione o nazionale che prevede la concessione di tale accesso. Qualora concedano o neghino l' accesso per il riutilizzo, a tali organismi competenti si applicano gli articoli 4, 5, 6 e 9.

3. Gli organismi competenti dispongono di risorse giuridiche, finanziarie, tecniche e umane adeguate per svolgere i compiti loro affi dati, comprese le conoscenze tecniche necessarie per poter rispettare il pertinente diritto dell'Unione o nazionale in materia di regimi di accesso per le categorie di dati di cui all'articolo 3, paragrafo 1.

4. L'assistenza di cui al paragrafo 1 comprende, ove necessario:

a)	fornire assistenza tecnica mettendo a disposizione un ambiente di trattamento sicuro per la fornitura dell' accesso ai fini del riutilizzo dei dati;

b)	fornire orientamenti e assistenza tecnica su come strutturare e conservare al meglio i dati per renderli facilmente accessibili;

fornire assistenza tecnica per la pseudonimizzazione e garantire il trattamento dei dati in modo da tutelare efficacemente la vita privata, la riservatezza, l'integrità e l'accessibilità delle informazioni contenute nei dati per i quali è consentito il riutilizzo, comprese le tecniche di anonimizzazione, generalizzazione, soppressione e randomizzazione dei dati personali o altri metodi all'avanguardia di tutela della vita privata, e la cancellazione di informazioni commerciali riservate, tra cui segreti commerciali o contenuti protetti da diritti di proprietà intellettuale;

se del caso, fornire assistenza agli enti pubblici affinché aiutino i riutilizzatori a richiedere agli interessati il consenso al riutilizzo o ai titolari dei dati l' autorizzazione al riutilizzo, in linea con le loro decisioni specifiche, anche in merito alla giurisdizione in cui si intende effettuare il trattamento dei dati, e fornire assistenza agli enti pubblici nell'istituire meccanismi tecnici che permettano di trasmettere le richieste di consenso o di autorizzazione formulate dai riutilizzatori, ove ciò sia fattibile nella pratica;

e)	fornire assistenza agli enti pubblici in merito alla valutazione dell'adeguatezza degli impegni contrattuali assunti da un riutilizzatore, a norma dell'articolo 5, paragrafo 10.

5. Ciascuno Stato membro notifica alla Commissione l'identità degli organismi competenti designati a norma del paragrafo 1 entro il 24 settembre 2023. Ciascuno Stato membro notifica altresì alla Commissione ogni successiva modifica dell'identità di tali organismi competenti.

Articolo 12

Condizioni per la fornitura di servizi di intermediazione dei dati

La fornitura di servizi di intermediazione dei dati di cui all'articolo 10 è soggetta alle condizioni seguenti:

a)	il fornitore di servizi di intermediazione dei dati non utilizza i dati per i quali fornisce servizi di intermediazione dei dati per scopi diversi dalla messa a disposizione di tali dati agli utenti dei dati e fornisce servizi di intermediazione dei dati attraverso una persona giuridica distinta;

le condizioni commerciali, compresa la fissazione del prezzo, per la fornitura di servizi di intermediazione dei dati a un titolare dei dati o a un utente dei dati non sono subordinate al fatto che il titolare dei dati o l'utente dei dati utilizzi altri servizi forniti dallo stesso fornitore di servizi di intermediazione dei dati o da un'entità collegata, e, in caso affermativo, in che misura il titolare dei dati o gli utenti dei dati utilizzano tali altri servizi;

i dati raccolti su qualsiasi attività di una persona fisica o giuridica ai fini della fornitura del servizio di intermediazione dei dati, compresi la data, l'ora e i dati di geolocalizzazione, la durata dell'attività e i collegamenti con altre persone fisiche o giuridiche stabiliti dalla persona che utilizza il servizio di intermediazione dei dati, sono utilizzati solo per lo sviluppo di tale servizio di intermediazione dei dati, il che può comportare l'uso di dati per l'individuazione di frodi o a fini di cibersicurezza, e sono messi a disposizione dei titolari dei dati su richiesta;

il fornitore di servizi di intermediazione dei dati agevola lo scambio dei dati nel formato in cui li riceve da un interessato o da un titolare dei dati, li converte in formati specifici solo allo scopo di migliorare l'interoperabilità a livello intrasettoriale e intersettoriale, se richiesto dall'utente dei dati, se prescritto dal diritto dell'Unione o per garantire l'armonizzazione con le norme internazionali o europee in materia di dati e offre agli interessati o ai titolari dei dati la possibilità di non partecipare a tali conversioni, a meno che la conversione non sia prescritta dal diritto dell'Unione;

i servizi di intermediazione dei dati possono comprendere l'offerta di strumenti e servizi supplementari specifici ai titolari dei dati o agli interessati allo scopo specifico di facilitare lo scambio dei dati, come la conservazione temporanea, la cura, la conversione, l'anonimizzazione e la pseudonimizzazione, fermo restando che tali strumenti e servizi sono utilizzati solo su richiesta o approvazione esplicita del titolare dei dati o dell' interessato e gli strumenti di terzi offerti in tale contesto non utilizzano i dati per altri scopi;

f)	il fornitore di servizi di intermediazione dei dati provvede affinché la procedura di accesso al suo servizio sia equa, trasparente e non discriminatoria sia per gli interessati e i titolari dei dati sia per gli utenti dei dati, anche per quanto riguarda i prezzi e le condizioni di servizio;

g)	il fornitore di servizi di intermediazione dei dati dispone di procedure per prevenire pratiche fraudolente o abusive in relazione a soggetti che richiedono l' accesso tramite i suoi servizi di intermediazione dei dati;

in caso di insolvenza, il fornitore di servizi di intermediazione dei dati garantisce una ragionevole continuità della fornitura dei suoi servizi di intermediazione dei dati e, nel caso tali servizi di intermediazione dei dati garantiscono la conservazione dei dati, dispone di meccanismi che consentano ai titolari dei dati e agli utenti dei dati di ottenere l' accesso ai loro dati o il trasferimento o il recupero degli stessi, e che consentano agli interessati, nel caso in cui tale fornitura di servizi di intermediazione dei dati sia fornita tra interessati e utenti dei dati, di esercitare i propri diritti;

i)	il fornitore di servizi di intermediazione dei dati adotta misure adeguate per garantire l'interoperabilità con altri servizi di intermediazione dei dati, tra l'altro mediante norme aperte di uso comune nel settore in cui opera il fornitore di servizi di intermediazione dei dati;

il fornitore di servizi di intermediazione dei dati mette in atto adeguate misure tecniche, giuridiche e organizzative al fine di impedire il trasferimento di dati non personali o l' accesso a questi ultimi nel caso in cui ciò sia illegale a norma del diritto dell'Unione o del diritto nazionale dello Stato membro interessato;

k)	il fornitore di servizi di intermediazione dei dati informa senza ritardo i titolari dei dati in caso di trasferimento, accesso o utilizzo non autorizzati dei dati non personali che ha condiviso;

il fornitore di servizi di intermediazione dei dati adotta le misure necessarie per garantire un adeguato livello di sicurezza per la conservazione, il trattamento e la trasmissione di dati non personali, e il fornitore di servizi di intermediazione dei dati assicura inoltre il massimo livello di sicurezza per la conservazione e la trasmissione di informazioni sensibili sotto il profilo della concorrenza;

il fornitore di servizi di intermediazione dei dati che offre servizi agli interessati agisce nell'interesse superiore di questi ultimi nel facilitare l'esercizio dei loro diritti, in particolare informandoli e, se opportuno, fornendo loro consulenza in maniera concisa, trasparente, intelligibile e facilmente accessibile sugli utilizzi previsti dei dati da parte degli utenti dei dati e sui termini e le condizioni standard cui sono subordinati tali utilizzi, prima che gli interessati diano il loro consenso;

qualora un fornitore di servizi di intermediazione dei dati fornisca strumenti per ottenere il consenso degli interessati o le autorizzazioni a trattare i dati messi a disposizione dai titolari dei dati, esso specifica, se del caso, la giurisdizione del paese terzo in cui si intende effettuare l'utilizzo dei dati e fornisce agli interessati gli strumenti per dare e revocare il consenso e ai titolari dei dati gli strumenti per dare e revocare le autorizzazioni a trattare i dati;

o)	il fornitore di servizi di intermediazione dei dati tiene un registro dell'attività di intermediazione dei dati.

Articolo 21

Obblighi specifici di tutela dei diritti e degli interessi degli interessati e dei titolari dei dati per quanto riguarda i loro dati

1. Un'organizzazione per l'altruismo dei dati riconosciuta informa in maniera chiara e facilmente comprensibile gli interessati o i titolari dei dati, prima di qualsiasi trattamento dei loro dati, in merito:

a)	agli obiettivi di interesse generale e, se opportuno, alla finalità determinata, esplicita e legittima per cui i dati devono essere trattati, e per i quali acconsentono al trattamento dei loro dati da parte di un utente dei dati;

b)	all'ubicazione e agli obiettivi di interesse generale per cui acconsentono a eventuali trattamenti effettuati in un paese terzo, nel caso in cui il trattamento sia effettuato dall‘organizzazione per l'altruismo dei dati riconosciuta.

2. L'organizzazione per l'altruismo dei dati riconosciuta non utilizza i dati per altri obiettivi diversi da quelli di interesse generale per i quali gli interessati o i titolari dei dati acconsentono al trattamento. L'organizzazione per l'altruismo dei dati riconosciuta non ricorre a pratiche commerciali ingannevoli per sollecitare la fornitura di dati.

3. L'organizzazione per l'altruismo dei dati riconosciuta fornisce strumenti per ottenere il consenso degli interessati o le autorizzazioni al trattamento dei dati messi a disposizione dai titolari dei dati. L'organizzazione per l'altruismo dei dati riconosciuta fornisce altresì strumenti per l'agevole revoca di tale consenso o autorizzazione.

4. L'organizzazione per l'altruismo dei dati riconosciuta adotta misure intese a garantire un livello adeguato di sicurezza per la conservazione e il trattamento di dati non personali che ha raccolto sulla base dell'altruismo dei dati.

5. L'organizzazione per l'altruismo dei dati riconosciuta informa senza ritardo i titolari dei dati in caso di trasferimento, accesso o utilizzo non autorizzati dei dati non personali che ha condiviso.

6. Qualora l'organizzazione per l'altruismo dei dati riconosciuta agevoli il trattamento dei dati da parte di terzi, anche fornendo strumenti per ottenere il consenso degli interessati o le autorizzazioni a trattare i dati messi a disposizione dai titolari dei dati, essa specifica, se del caso, la giurisdizione del paese terzo in cui i dati sono destinati a essere utilizzati.

Articolo 22

Codice

1. La Commissione adotta atti delegati conformemente all'articolo 32 al fine di integrare il presente regolamento istituendo un codice che stabilisca:

adeguati requisiti in materia di informazione per garantire che gli interessati e i titolari dei dati ricevano, prima di dare il consenso o l' autorizzazione all'altruismo dei dati, informazioni sufficientemente dettagliate, chiare e trasparenti sull'utilizzo dei dati, sugli strumenti per concedere e revocare la concessione del consenso o dell' autorizzazione, e sulle misure adottate per evitare l'utilizzo improprio dei dati condivisi con l'organizzazione per l'altruismo dei dati;

b)	adeguati requisiti tecnici e di sicurezza per garantire l'opportuno livello di sicurezza per la conservazione e il trattamento dei dati, nonché per gli strumenti per la concessione o la revoca del consenso o dell' autorizzazione;

tabelle di marcia per la comunicazione con un approccio multidisciplinare per sensibilizzare i pertinenti portatori di interessi, in particolare i titolari dei dati e gli interessati che potrebbero condividere i loro dati, per quanto riguarda l'altruismo dei dati, la designazione in qualità di organizzazione per l'altruismo dei dati riconosciuta nell'Unione e il codice stesso;

d)	raccomandazioni sulle norme di interoperabilità pertinenti.

2. Il codice di cui al paragrafo 1 è elaborato in stretta collaborazione con le organizzazioni per l'altruismo dei dati e i pertinenti portatori di interessi.

Articolo 25

Modulo europeo di consenso all'altruismo dei dati

1. Al fine di facilitare la raccolta dei dati basata sull'altruismo dei dati, la Commissione adotta atti di esecuzione per l'istituzione e l'elaborazione di un modulo europeo di consenso all'altruismo dei dati, previa consultazione del comitato europeo per la protezione dei dati, tenendo conto del parere del comitato europeo per l'innovazione in materia di dati e coinvolgendo opportunamente i pertinenti portatori di interessi. Il modulo permette di raccogliere il consenso o l’ autorizzazione in un formato uniforme in tutti gli Stati membri. Tali atti di esecuzione sono adottati secondo la procedura consultiva di cui all'articolo 33, paragrafo 2.

2. Il modulo europeo di consenso all'altruismo dei dati utilizza un approccio modulare che ne consente la personalizzazione in funzione di settori specifici e finalità diverse.

3. Qualora siano forniti dati personali, il modulo europeo di consenso all'altruismo dei dati garantisce che gli interessati possano dare e revocare il proprio consenso a una specifica operazione di trattamento dei dati conformemente alle prescrizioni di cui al regolamento (UE) 2016/679.

4. Il modulo è disponibile in un formato stampabile e facilmente comprensibile nonché in un formato elettronico predisposto per la lettura automatica.

CAPO V

Autorità competenti e disposizioni procedurali

Articolo 30

Compiti del comitato europeo per l'innovazione in materia di dati

Il comitato europeo per l'innovazione in materia di dati svolge i compiti seguenti:

a)	consiglia e assiste la Commissione nello sviluppo di una prassi coerente degli enti pubblici e degli organismi competenti di cui all'articolo 7, paragrafo 1, per il trattamento delle richieste di riutilizzo delle categorie di dati di cui all'articolo 3, paragrafo 1;

b)	consiglia e assiste la Commissione nello sviluppo di una prassi coerente in materia di altruismo dei dati in tutta l'Unione;

consiglia e assiste la Commissione nello sviluppo di una prassi coerente delle autorità competenti per i servizi di intermediazione dei dati e le autorità competenti per la registrazione delle organizzazioni per l'altruismo dei dati per l'applicazione delle prescrizioni applicabili rispettivamente ai fornitori di servizi di intermediazione dei dati e alle organizzazioni per l'altruismo dei dati riconosciute;

consiglia e assiste la Commissione nell'elaborazione di orientamenti coerenti sulle modalità per proteggere al meglio, nel contesto del presente regolamento, i dati commerciali sensibili non personali, in particolare i segreti commerciali, ma anche i dati non personali che costituiscono un contenuto protetto da diritti di proprietà intellettuale da un accesso illecito che comporti il rischio di furto della proprietà intellettuale o di spionaggio industriale;

e)	consiglia e assiste la Commissione nell'elaborazione di orientamenti coerenti sulle prescrizioni in materia di cibersicurezza per lo scambio e la conservazione dei dati;

consiglia la Commissione, tenendo conto in particolare del contributo delle organizzazioni di normazione, in merito alla priorità da attribuire alle norme intersettoriali da utilizzare e sviluppare per l'utilizzo dei dati e la condivisione intersettoriale dei dati tra spazi di dati comuni europei emergenti, alla comparabilità e allo scambio intersettoriali di buone pratiche per quanto riguarda le prescrizioni settoriali in materia di sicurezza e alle procedure di accesso, tenendo conto delle attività di normazione specifiche per settore, in particolare al fine di chiarire e distinguere quali norme e prassi sono intersettoriali e quali sono settoriali;

assiste la Commissione, tenendo conto in particolare del contributo delle organizzazioni di normazione, nel far fronte alla frammentazione del mercato interno e dell'economia dei dati nel mercato interno mediante il rafforzamento dell'interoperabilità transfrontaliera e intersettoriale dei dati e dei servizi di condivisione dei dati tra diversi settori e ambiti, integrando le norme europee, internazionali o nazionali esistenti, anche allo scopo di incoraggiare la creazione di spazi comuni europei di dati;

propone orientamenti per gli spazi comuni europei di dati, ossia indica quadri interoperabili specifici settoriali o intersettoriali di norme e prassi comuni per condividere o trattare congiuntamente i dati, anche ai fini dello sviluppo di nuovi prodotti e servizi, della ricerca scientifica o di iniziative della società civile; tali norme e prassi comuni tengono conto delle norme esistenti, rispettano le regole di concorrenza e garantiscono un accesso non discriminatorio a tutti i partecipanti, onde agevolare la condivisione dei dati nell'Unione e sfruttare il potenziale degli spazi di dati esistenti e futuri, affrontando tra l'altro questioni quali:

le norme intersettoriali da utilizzare e sviluppare per l'utilizzo dei dati e la condivisione intersettoriale dei dati, la comparabilità e lo scambio intersettoriali di buone pratiche per quanto riguarda le prescrizioni settoriali in materia di sicurezza e le procedure di accesso, tenendo conto delle attività di normazione specifiche per settore, in particolare al fine di chiarire e distinguere quali norme e prassi sono intersettoriali e quali sono settoriali;

ii)	i requisiti intesi a contrastare gli ostacoli all'ingresso nel mercato ed evitare effetti di lock-in, al fine di garantire concorrenza leale e interoperabilità;

iii)	un'adeguata tutela dei trasferimenti legali di dati a paesi terzi, tra cui le garanzie contro i trasferimenti vietati dal diritto dell'Unione;

iv)	una rappresentanza adeguata e non discriminatoria dei pertinenti portatori di interessi nella governance degli spazi comuni europei di dati;

v)	l'osservanza dei requisiti di cibersicurezza in conformità con il diritto dell'Unione;

i)	facilita la cooperazione tra gli Stati membri in merito alla definizione di condizioni armonizzate per il riutilizzo delle categorie di dati di cui all'articolo 3, paragrafo 1, detenuti da enti pubblici nell'intero mercato interno;

facilita la cooperazione tra le autorità competenti per i servizi di intermediazione dei dati e le autorità competenti per la registrazione delle organizzazioni per l'altruismo dei dati attraverso lo sviluppo di capacità e lo scambio di informazioni, in particolare stabilendo metodi per lo scambio efficiente di informazioni relative alla procedura di notifica per i fornitori di servizi di intermediazione dei dati e alla registrazione e al monitoraggio delle organizzazioni per l'altruismo dei dati riconosciute, compreso il coordinamento in merito alla fissazione di tariffe o sanzioni, e facilita altresì la cooperazione tra le autorità competenti per i servizi di intermediazione dei dati e le autorità competenti per la registrazione delle organizzazioni per l'altruismo dei dati in relazione all' accesso internazionale e al trasferimento dei dati;

k)	consiglia e assiste la Commissione nel valutare se debbano essere adottati atti di esecuzione di cui all'articolo 5, paragrafi 11 e 12;

l)	consiglia e assiste la Commissione nell'elaborazione del modulo europeo di consenso all'altruismo dei dati in conformità dell'articolo 25, paragrafo 1;

m)	consiglia la Commissione in merito al miglioramento del contesto normativo internazionale relativo ai dati non personali, compresa la normazione.

CAPO VII

Accesso internazionale e trasferimento

whereas

keyboard_tab Digital Governance Act 2022/0868 IT

Digital Governance Act 2022/0868 IT