Digital Governance Act 2022/0868 IT

2. Il presente regolamento non crea, per gli enti pubblici, alcun obbligo di consentire il riutilizzo dei dati, né esenta gli enti pubblici dai loro obblighi di riservatezza ai sensi del diritto dell'Unione o nazionale.

Il presente regolamento non pregiudica:

a)	le disposizioni specifiche contenute nel diritto dell'Unione o nazionale in materia di accesso a determinate categorie di dati o di riutilizzo degli stessi, in particolare riguardo la concessione dell' accesso a documenti ufficiali e la loro divulgazione; e

b)	gli obblighi degli enti pubblici a norma del diritto dell'Unione o nazionale di consentire il riutilizzo dei dati o i requisiti relativi al trattamento dei dati non personali.

Qualora una normativa settoriale dell'Unione o nazionale imponga agli enti pubblici, ai fornitori di servizi di intermediazione dei dati o alle organizzazioni per l'altruismo dei dati riconosciute di rispettare specifici requisiti tecnici, amministrativi o organizzativi aggiuntivi, anche attraverso un regime di autorizzazione o certificazione, si applicano anche le pertinenti disposizioni di tale normativa settoriale dell'Unione o nazionale. Eventuali requisiti specifici aggiuntivi sono non discriminatori, proporzionati e oggettivamente giustificati.

3. Il diritto dell'Unione e nazionale in materia di protezione dei dati personali si applica a qualsiasi dato personale trattato in relazione al presente regolamento. In particolare, il presente regolamento non pregiudica i regolamenti (UE) 2016/679 e (UE) 2018/1725 e le direttive 2002/58/CE e (UE) 2016/680, anche per quando riguarda i poteri e le competenze delle autorità di controllo. In caso di conflitto tra il presente regolamento e il diritto dell'Unione in materia di protezione dei dati personali o il diritto nazionale adottato conformemente a tale diritto dell'Unione, prevale il pertinente diritto dell'Unione o nazionale in materia di protezione dei dati personali. Il presente regolamento non crea una base giuridica per il trattamento dei dati personali e non influisce sui diritti e sugli obblighi di cui ai regolamenti (UE) 2016/679 e (UE) 2018/1725 o alle direttive 2002/58/CE o (UE) 2016/680.

4. Il presente regolamento lascia impregiudicata l'applicazione del diritto della concorrenza.

5. Il presente regolamento lascia impregiudicate le competenze degli Stati membri per quanto riguarda le loro attività in materia di sicurezza pubblica, difesa e sicurezza nazionale.

Articolo 2

Definizioni

Ai fini del presente regolamento si applicano le definizioni seguenti:

1)	« dati»: qualsiasi rappresentazione digitale di atti, fatti o informazioni e qualsiasi raccolta di tali atti, fatti o informazioni, anche sotto forma di registrazione sonora, visiva o audiovisiva;

« riutilizzo»: l'utilizzo di dati in possesso di enti pubblici da parte di persone fisiche o giuridiche a fini commerciali o non commerciali diversi dallo scopo iniziale nell'ambito dei compiti di servizio pubblico per i quali i dati sono stati prodotti, fatta eccezione per lo scambio di dati tra enti pubblici esclusivamente in adempimento dei loro compiti di servizio pubblico;

3)	« dati personali»: i dati personali quali definiti all'articolo 4, punto 1, del regolamento (UE) 2016/679;

4)	« dati non personali»: i dati diversi dai dati personali;

5)	« consenso»: consenso quale definito all'articolo 4, punto 11, del regolamento (UE) 2016/679;

6)	« autorizzazione»: il conferimento agli utenti dei dati del diritto al trattamento dei dati non personali;

7)	« interessato»: l' interessato ai sensi dell'articolo 4, punto 1, del regolamento (UE) 2016/679;

«titolare dei dati»: una persona giuridica, compresi gli enti pubblici e le organizzazioni internazionali, o una persona fisica che non è l' interessato rispetto agli specifici dati in questione e che, conformemente al diritto dell'Unione o nazionale applicabile, ha il diritto di concedere l' accesso a determinati dati personali o dati non personali o di condividerli;

9)	«utente dei dati»: una persona fisica o giuridica che ha accesso legittimo a determinati dati personali o non personali e che ha diritto, anche a norma del regolamento (UE) 2016/679 in caso di dati personali, a utilizzare tali dati a fini commerciali o non commerciali;

10)

«condivisione dei dati»: la fornitura di dati da un interessato o un titolare dei dati a un utente dei dati ai fini dell'utilizzo congiunto o individuale di tali dati, sulla base di accordi volontari o del diritto dell'Unione o nazionale, direttamente o tramite un intermediario, ad esempio nel quadro di licenze aperte o commerciali, dietro compenso o a titolo gratuito;

11)

«servizio di intermediazione dei dati»: un servizio che mira a instaurare, attraverso strumenti tecnici, giuridici o di altro tipo, rapporti commerciali ai fini della condivisione dei dati tra un numero indeterminato di interessati e di titolari dei dati, da un lato, e gli utenti dei dati, dall'altro, anche al fine dell'esercizio dei diritti degli interessati in relazione ai dati personali, ad esclusione almeno di:

servizi che ottengono dati dai titolari dei dati e li aggregano, arricchiscono o trasformano al fine di aggiungervi un valore sostanziale e concedono licenze per l'utilizzo dei dati risultanti agli utenti dei dati, senza instaurare un rapporto commerciale tra i titolari dei dati e gli utenti dei dati;

b)	servizi il cui obiettivo principale è l'intermediazione di contenuti protetti da diritto d'autore;

servizi utilizzati esclusivamente da un titolare dei dati per consentire l'utilizzo dei dati detenuti da tale titolare dei dati, oppure utilizzati da varie persone giuridiche all'interno di un gruppo chiuso, anche nel quadro di rapporti con i fornitori o i clienti o di collaborazioni contrattualmente stabilite, in particolare quelli aventi come obiettivo principale quello di garantire la funzionalità di oggetti o dispositivi connessi all'internet delle cose;

d)	servizi di condivisione dei dati offerti da enti pubblici che non mirano a instaurare rapporti commerciali;

12)	« trattamento»: il trattamento quale definito all'articolo 4, punto 2, del regolamento (UE) 2016/679 in materia di dati personali o all'articolo 3, punto (2), del Regolamento (UE) 2018/1807 in materia di dati non personali;

13)	« accesso»: l'utilizzo dei dati, conformemente a specifici requisiti tecnici, giuridici o organizzativi, che non implica necessariamente la trasmissione o lo scaricamento di dati;

14)	« stabilimento_principale» di una persona giuridica: il luogo in cui è stabilita la sua amministrazione centrale nell'Unione;

15)

«servizi di cooperative di dati»: servizi di intermediazione dei dati offerti da una struttura organizzativa costituita da interessati, imprese individuali o da PMI, che sono membri di tale struttura, avente come obiettivi principali quelli di aiutare i propri membri nell'esercizio dei loro diritti in relazione a determinati dati, anche per quanto riguarda il compiere scelte informate prima di acconsentire al trattamento dei dati, di procedere a uno scambio di opinioni sulle finalità e sulle condizioni del trattamento dei dati che rappresenterebbero al meglio gli interessi dei propri membri in relazione ai loro dati, o di negoziare i termini e le condizioni per il trattamento dei dati per conto dei membri prima di concedere l' autorizzazione al trattamento dei dati non personali o prima che essi diano il loro consenso al trattamento dei dati personali;

16)

«altruismo dei dati»: la condivisione volontaria di dati sulla base del consenso accordato dagli interessati al trattamento dei dati personali che li riguardano, o sulle autorizzazioni di altri titolari dei dati volte a consentire l'uso dei loro dati non personali, senza la richiesta o la ricezione di un compenso che vada oltre la compensazione dei costi sostenuti per mettere a disposizione i propri dati, per obiettivi di interesse generale, stabiliti nel diritto nazionale, ove applicabile, quali l'assistenza sanitaria, la lotta ai cambiamenti climatici, il miglioramento della mobilità, l'agevolazione dell'elaborazione, della produzione e della divulgazione di statistiche ufficiali, il miglioramento della fornitura dei servizi pubblici, l'elaborazione delle politiche pubbliche o la ricerca scientifica nell'interesse generale;

17)	« ente_pubblico»: le autorità statali, regionali o locali, gli organismi_di_diritto_pubblico o le associazioni formate da una o più di tali autorità oppure da uno o più di tali organismi_di_diritto_pubblico;

18)

« organismi_di_diritto_pubblico»: gli organismi che hanno le caratteristiche seguenti:

a)	sono istituiti per soddisfare specificatamente bisogni d'interesse generale e non hanno carattere industriale o commerciale;

b)	sono dotati di personalità giuridica;

le loro attività sono finanziate in modo maggioritario dallo Stato, da autorità regionali o locali o da altri organismi_di_diritto_pubblico, o la loro gestione è soggetta alla supervisione da parte di tali autorità o organismi, oppure sono dotati di un organo di amministrazione, di direzione o di vigilanza in cui più della metà dei membri è designata dallo Stato, da autorità regionali o locali o da altri organismi_di_diritto_pubblico;

19)

« impresa_pubblica»: qualsiasi impresa su cui gli enti pubblici possono esercitare, direttamente o indirettamente, un'influenza dominante perché ne sono proprietari, vi hanno una partecipazione finanziaria, o in virtù di norme che disciplinano l'impresa in questione; ai fini della presente definizione si presume un'influenza dominante in uno qualsiasi dei seguenti casi in cui tali enti, direttamente o indirettamente:

a)	detengono la maggioranza del capitale sottoscritto dall'impresa;

b)	controllano la maggioranza dei voti cui danno diritto le azioni emesse dall'impresa;

c)	possono designare più della metà dei membri dell'organo di amministrazione, di direzione o di vigilanza dell'impresa;

20)

«ambiente di trattamento sicuro»: l'ambiente fisico o virtuale e i mezzi organizzativi per garantire la conformità al diritto dell'Unione, quale il regolamento (UE) 2016/679, in particolare per quanto riguarda i diritti degli interessati, i diritti di proprietà intellettuale e la riservatezza commerciale e statistica, l'integrità e l'accessibilità, per garantire il rispetto del diritto dell'Unione e nazionale applicabile, e per consentire all'entità che fornisce l'ambiente di trattamento sicuro di determinare e controllare tutte le azioni di trattamento dei dati, compresi la visualizzazione, la conservazione, lo scaricamento, l'esportazione dei dati e il calcolo dei dati derivati mediante algoritmi computazionali;

21)

« rappresentante_legale»: una persona fisica o giuridica stabilita nell'Unione esplicitamente designata ad agire per conto di un fornitore di servizi di intermediazione dei dati non stabilito nell'Unione o di un'entità non stabilita nell'Unione che raccoglie dati per obiettivi di interesse generale messi a disposizione da persone fisiche o giuridiche sulla base dell'altruismo dei dati, che può essere interpellata dalle autorità nazionali competenti per i servizi di intermediazione dei dati e dalle autorità competenti per la registrazione delle organizzazioni per l'altruismo dei dati in aggiunta o in sostituzione del fornitore di servizi di intermediazione dei dati o dell'entità in relazione agli obblighi a norma del presente regolamento, anche per quanto riguarda l'avvio di un procedimento esecutivo contro un prestatore di servizi di intermediazione dei dati o un'entità inadempiente non stabilito nell'Unione.

CAPo II

Riutilizzo di determinate categorie di dati protetti detenuti da enti pubblici

Articolo 9

Procedura per le richieste di riutilizzo

1. A meno che non siano stati stabiliti termini più brevi conformemente al diritto nazionale, gli enti pubblici competenti o gli organismi competenti di cui all'articolo 7, paragrafo 1, adottano una decisione sulla richiesta di riutilizzo delle categorie di dati di cui all'articolo 3, paragrafo 1, entro due mesi dalla data di ricevimento della richiesta.

In caso di richieste eccezionalmente cospicue e complesse per il riutilizzo, tale periodo di due mesi può essere prorogato al massimo di 30 giorni. In tali casi, gli enti pubblici competenti o gli organismi competenti di cui all'articolo 7, paragrafo 1, notificano il prima possibile al richiedente che occorre più tempo per svolgere la procedura e la relativa motivazione per il ritardo.

2. Qualsiasi persona fisica o giuridica direttamente interessata dalla decisione di cui al paragrafo 1 ha l'effettivo diritto di ricorso nello Stato membro in cui è situato l'organismo in questione. Tale diritto di ricorso è stabilito nel diritto nazionale e comprende la possibilità di revisione da parte di un organo imparziale dotato delle opportune competenze, come per esempio l'autorità nazionale garante della concorrenza, l'autorità competente per l' accesso ai documenti, l'autorità di controllo istituita a norma del regolamento (UE) 2016/679, o un'autorità giudiziaria nazionale, le cui decisioni sono vincolanti per l' ente_pubblico o per l'organismo competente interessato.

CAPO III

Requisiti applicabili ai servizi di intermediazione dei dati

Articolo 11

Notifica da parte dei fornitori di servizi di intermediazione dei dati

1. I fornitori di servizi di intermediazione dei dati che intendono fornire i servizi di intermediazione dei dati di cui all'articolo 10 presentano una notifica all'autorità competente per i servizi di intermediazione dei dati.

2. Ai fini del presente regolamento, un fornitore di servizi di intermediazione dei dati con stabilimenti in più di uno Stato membro è considerato soggetto alla giurisdizione dello Stato membro in cui ha lo stabilimento_principale, fatto salvo il diritto dell'Unione che disciplina le azioni transfrontaliere di risarcimento danni e i procedimenti connessi.

3. Un fornitore di servizi di intermediazione dei dati che non è stabilito nell'Unione, ma che offre all'interno dell'Unione i servizi di intermediazione dei dati di cui all'articolo 10, designa un rappresentante_legale in uno degli Stati membri in cui offre tali servizi.

Al fine di garantire la conformità al presente regolamento, il rappresentante_legale riceve dal fornitore di servizi di intermediazione dei dati il mandato di essere interpellato oltre a tale fornitore o al suo posto dalle autorità competenti per i servizi di intermediazione dei dati o dagli interessati o dai titolari dei dati per quanto riguarda tutte le questioni relative ai servizi di intermediazione dei dati forniti. Il rappresentante_legale collabora con le autorità competenti per i servizi di intermediazione dei dati e, su richiesta, dimostra loro in modo esauriente le misure adottate e le disposizioni messe in atto dal fornitore di servizi di intermediazione dei dati per garantire la conformità al presente regolamento.

Il fornitore di servizi di intermediazione dei dati è considerato soggetto alla giurisdizione dello Stato membro in cui è situato il suo rappresentante_legale. La designazione di un rappresentante_legale a cura del fornitore di servizi di intermediazione dei dati fa salve le azioni legali che potrebbero essere promosse contro il fornitore di servizi di intermediazione dei dati.

4. Dopo aver presentato una notifica conformemente al paragrafo 1, il fornitore di servizi di intermediazione dei dati può avviare l'attività alle condizioni stabilite nel presente capo.

5. La notifica di cui al paragrafo 1 autorizza il fornitore di servizi di intermediazione dei dati a fornire servizi di intermediazione dei dati in tutti gli Stati membri.

6. La notifica di cui al paragrafo 1 contiene le informazioni seguenti:

a)	il nome del fornitore di servizi di intermediazione dei dati;

lo status giuridico, la forma giuridica, l'assetto proprietario, le pertinenti società controllate e, qualora il fornitore di servizi di intermediazione dei dati sia registrato nel registro delle imprese o in un altro registro pubblico nazionale analogo, il numero di registrazione del fornitore di servizi di intermediazione dei dati;

c)	l'indirizzo dell'eventuale stabilimento_principale del fornitore di servizi di intermediazione dei dati nell'Unione e, se opportuno, di eventuali sedi secondarie in un altro Stato membro o l'indirizzo del rappresentante_legale;

d)	un sito web pubblico in cui sono reperibili informazioni complete e aggiornate sul fornitore di servizi di intermediazione dei dati e sulle sue attività, comprese almeno le informazioni di cui alle lettere a), b), c) e f);

e)	le persone di contatto e i recapiti del fornitore di servizi di intermediazione dei dati;

f)	una descrizione del servizio di intermediazione dei dati che il fornitore di servizi di intermediazione dei dati intende fornire e un'indicazione delle categorie elencate all'articolo 10 in cui rientra tale servizio di intermediazione dei dati;

g)	la data prevista di inizio dell'attività, se diversa dalla data della notifica.

7. L'autorità competente per i servizi di intermediazione dei dati assicura che la procedura di notifica sia non discriminatoria e non falsi la concorrenza.

8. Su richiesta del fornitore di servizi di intermediazione dei dati, l'autorità competente per i servizi di intermediazione dei dati rilascia, entro una settimana dalla notifica debitamente e interamente completata, una dichiarazione standardizzata in cui conferma che il fornitore di servizi di intermediazione dei dati ha presentato la notifica di cui al paragrafo 1 e che la notifica contiene le informazioni di cui al paragrafo 6.

9. Su richiesta del fornitore di servizi di intermediazione dei dati, l'autorità competente per i servizi di intermediazione dei dati conferma, che il fornitore di servizi di intermediazione dei dati è conforme alle disposizioni di cui al presente articolo e all'articolo 12. Una volta ricevuta detta conferma, il fornitore di servizi di intermediazione dei dati in questione può utilizzare il titolo «fornitore di servizi di intermediazione dei dati riconosciuto nell'Unione» nelle sue comunicazioni scritte e orali, nonché un logo comune.

Per garantire che i fornitori di servizi di intermediazione dei dati riconosciuti nell’Unione siano facilmente identificabili in tutta l'Unione, la Commissione stabilisce, mediante atti di esecuzione, un disegno per il logo comune. I fornitori di servizi di intermediazione dei dati riconosciuti nell’Unione espongono il logo comune in modo chiaro su ciascuna pubblicazione online e offline relativa alle loro attività di intermediazione dei dati.

Tali atti di esecuzione sono adottati secondo la procedura consultiva di cui all'articolo 33, paragrafo 2.

10. L'autorità competente per i servizi di intermediazione dei dati notifica senza ritardo alla Commissione, per via elettronica, ogni nuova notifica. La Commissione tiene e aggiorna regolarmente un registro pubblico di tutti i fornitori di servizi di intermediazione dei dati che forniscono i loro servizi nell'Unione. Le informazioni di cui al paragrafo 6, lettere a), b), c), d), f) e g), sono pubblicate nel registro pubblico.

11. L'autorità competente per i servizi di intermediazione dei dati può imporre tariffe per la notifica, in conformità del diritto nazionale. Tali tariffe sono proporzionate e oggettive e si basano sui costi amministrativi relativi al monitoraggio della conformità e ad altre attività di controllo del mercato da parte dell'autorità competente per i servizi di intermediazione dei dati in relazione alle notifiche dei fornitori di servizi di intermediazione dei dati. Nel caso delle PMI e delle start-up, l'autorità competente per i servizi di intermediazione dei dati può applicare tariffe ridotte o consentire la notifica a titolo gratuito.

12. I fornitori di servizi di intermediazione dei dati notificano all'autorità competente per i servizi di intermediazione dei dati ogni eventuale modifica delle informazioni fornite a norma del paragrafo 6 entro 14 giorni dalla data della modifica stessa.

13. Qualora un fornitore di servizi di intermediazione dei dati cessi le sue attività, ne dà notifica entro 15 giorni alla pertinente autorità competente per i servizi di intermediazione dei dati individuata a norma dei paragrafi 1, 2 e 3.

14. L'autorità competente per i servizi di intermediazione dei dati notifica senza ritardo alla Commissione, per via elettronica, ciascuna notifica di cui ai paragrafi 12 e 13. La Commissione aggiorna di conseguenza il registro pubblico dei fornitori di servizi di intermediazione dei dati nell'Unione.

Articolo 13

autorità competenti per i servizi di intermediazione dei dati

1. Ciascuno Stato membro designa una o più autorità competenti a svolgere i compiti relativi alla procedura di notifica per i servizi di intermediazione dei dati e notifica alla Commissione l'identità di tali autorità competenti entro il 24 settembre 2023. Ciascuno Stato membro notifica inoltre alla Commissione ogni eventuale modifica successiva dell'identità di tali autorità competenti.

2. Le autorità competenti per i servizi di intermediazione dei dati rispettano i requisiti di cui all'articolo 26.

3. I poteri delle autorità competenti per i servizi di intermediazione dei dati non pregiudicano i poteri delle autorità per la protezione dei dati, delle autorità nazionali garanti della concorrenza, delle autorità responsabili della cibersicurezza e di altre autorità settoriali pertinenti. Conformemente alle rispettive competenze ai sensi del diritto dell'Unione e nazionale, tali autorità istituiscono una forte cooperazione e si scambiano le informazioni come necessario per l'esercizio dei loro compiti in relazione ai fornitori di servizi di intermediazione dei dati, e si adoperano per conseguire la coerenza delle decisioni adottate in applicazione del presente regolamento.

Articolo 14

Monitoraggio della conformità

1. Le autorità competenti per i servizi di intermediazione dei dati monitorano e controllano la conformità dei fornitori dei servizi di intermediazione dei dati ai requisiti di cui al presente capo. Le autorità competenti per i servizi di intermediazione dei dati possono inoltre monitorare e controllare la conformità dei fornitori dei servizi di intermediazione dei dati sulla base di una richiesta da parte di persone fisiche o giuridiche.

2. Le autorità competenti per i servizi di intermediazione dei dati hanno il potere di chiedere ai fornitori di servizi di intermediazione dei dati o ai loro rappresentanti legali tutte le informazioni necessarie per verificare la conformità ai requisiti di cui al presente capo. Le richieste di informazioni sono motivate e proporzionate rispetto all'assolvimento del compito.

3. Qualora constati che un fornitore di servizi di intermediazione dei dati non rispetta uno o più requisiti di cui al presente capo, l'autorità competente per i servizi di intermediazione dei dati notifica tale circostanza al fornitore di servizi di intermediazione dei dati e gli offre l'opportunità di esprimere osservazioni entro 30 giorni dal ricevimento della notifica.

4. L'autorità competente per i servizi di intermediazione dei dati ha il potere di imporre la cessazione della violazione di cui al paragrafo 3 entro un termine ragionevole oppure immediatamente in caso di violazione grave e adotta misure adeguate e proporzionate volte ad assicurare l'osservanza. A tal proposito l'autorità competente per i servizi di intermediazione dei dati ha il potere, ove opportuno, di:

a)	imporre, mediante procedure amministrative, sanzioni pecuniarie dissuasive, che possono includere sanzioni periodiche e sanzioni con effetto retroattivo, oppure avviare procedimenti giudiziari per l'imposizione di ammende, o entrambe le misure;

b)	chiedere un rinvio dell'inizio o della fornitura del servizio di intermediazione dei dati, o una sospensione della stessa, fino a quando non siano state apportate le modifiche alle condizioni richieste dall'autorità competente per i servizi di intermediazione dei dati; o

c)	chiedere la cessazione della fornitura del servizio di intermediazione dei dati nel caso in cui le violazioni gravi o ripetute non siano state rettificate nonostante la notifica preventiva di cui al paragrafo 3.

Una volta ordinata la cessazione della fornitura del servizio di intermediazione dei dati, l'autorità competente per i servizi di intermediazione dei dati chiede alla Commissione di eliminare il fornitore del servizio di intermediazione dei dati dal registro dei fornitori di servizi di intermediazione dei dati in conformità del primo comma, lettera c).

Se un fornitore di servizi di intermediazione dei dati rettifica le violazioni, tale fornitore di servizi di intermediazione dei dati invia una nuova notifica all'autorità competente per i servizi di intermediazione dei dati. L'autorità competente per i servizi di intermediazione dei dati notifica alla Commissione ognuna di tali nuove notifiche.

5. Qualora un fornitore di servizi di intermediazione dei dati non stabilito nell'Unione non designi un rappresentante_legale o qualora quest'ultimo non fornisca, su richiesta dell'autorità competente per i servizi di intermediazione dei dati, le informazioni necessarie che dimostrino in modo esauriente il rispetto del presente regolamento, l'autorità competente per i servizi di intermediazione dei dati ha il potere di rinviare l'inizio della fornitura del servizio di intermediazione dei dati, o sospenderla, fino alla designazione del rappresentante_legale o alla presentazione delle informazioni necessarie.

6. Le autorità competenti per i servizi di intermediazione dei dati notificano senza ritardo al fornitore di servizi di intermediazione dei dati interessato le misure imposte a norma dei paragrafi 4 e 5 e i motivi su cui si basano, nonché le misure che occorre adottare per rettificare le lacune pertinenti, e stabiliscono un periodo ragionevole, non superiore a 30 giorni, entro il quale il fornitore di servizi di intermediazione dei dati deve conformarsi a tali misure.

7. Se lo stabilimento_principale o il rappresentante_legale di un fornitore di servizi di intermediazione dei dati si trova in uno Stato membro, ma tale fornitore presta servizi in altri Stati membri, l'autorità competente per i servizi di intermediazione dei dati dello Stato membro dello stabilimento_principale o in cui si trova il rappresentante_legale e le autorità competenti per i servizi di intermediazione dei dati di tali altri Stati membri collaborano e si prestano assistenza reciprocamente. Tali assistenza e collaborazione possono comprendere scambi di informazioni tra le autorità competenti per i servizi di intermediazione dei dati interessate ai fini dell'assolvimento dei loro compiti a norma del presente regolamento e richieste motivate di adottare le misure di cui al presente articolo.

Se un'autorità competente per i servizi di intermediazione dei dati di uno Stato membro chiede assistenza a un'autorità competente per i servizi di intermediazione dei dati di un altro Stato membro, essa presenta una richiesta motivata. L'autorità competente per i servizi di intermediazione dei dati che riceve tale richiesta fornisce una risposta senza ritardo ed entro un termine proporzionato all'urgenza della richiesta.

Tutte le informazioni scambiate nel quadro dell'assistenza richiesta e prestata a norma del presente paragrafo sono utilizzate solo in relazione alla questione per cui sono state richieste.

Articolo 17

Registri pubblici delle organizzazioni per l'altruismo dei dati riconosciute

1. Ciascuna autorità competente per la registrazione delle organizzazioni per l'altruismo dei dati tiene e aggiorna periodicamente un registro pubblico nazionale delle organizzazioni per l'altruismo dei dati riconosciute.

2. A fini informativi, la Commissione tiene un registro pubblico dell'Unione delle organizzazioni per l'altruismo dei dati riconosciute. Purché sia registrata nel registro pubblico nazionale delle organizzazioni per l'altruismo dei dati riconosciute conformemente all'articolo 18, un'entità può utilizzare, nelle proprie comunicazioni scritte e orali, il titolo «organizzazione per l'altruismo dei dati riconosciuta nell'Unione» nonché un logo comune.

Per garantire che le organizzazioni per l'altruismo dei dati riconosciute siano facilmente identificabili in tutta l'Unione, la Commissione stabilisce, mediante atti di esecuzione, un disegno per il logo comune. Le organizzazioni per l'altruismo dei dati riconosciute espongono il logo comune in modo chiaro su ogni pubblicazione online e offline relativa alle loro attività di altruismo dei dati. Il logo comune è accompagnato da un codice QR con un link al registro pubblico dell'Unione delle organizzazioni per l'altruismo dei dati riconosciute.

Tali atti di esecuzione sono adottati secondo la procedura consultiva di cui all'articolo 33, paragrafo 2.

Articolo 19

Registrazione delle organizzazioni per l'altruismo dei dati riconosciute

1. Un'entità che soddisfi i requisiti di cui all'articolo 18 può presentare una domanda di registrazione nel registro pubblico nazionale delle organizzazioni per l'altruismo dei dati riconosciute nello Stato membro in cui è stabilita.

2. Un'entità che soddisfa i requisiti di cui all'articolo 18 e ha stabilimenti in più di uno Stato membro può presentare una domanda di registrazione nel registro pubblico nazionale delle organizzazioni di altruismo dei dati riconosciute nello Stato membro in cui ha lo stabilimento_principale.

3. Un'entità che soddisfa i requisiti di cui all'articolo 18 ma che non è stabilita nell'Unione designa un rappresentante_legale in uno degli Stati membri in cui offre i servizi di intermediazione dei dati.

Al fine di garantire la conformità al presente regolamento, il rappresentante_legale riceve dall'entità il mandato di essere interpellato oltre all'entità stessa o al suo posto dalle autorità competenti per la registrazione delle organizzazioni per l'altruismo dei dati o dagli interessati o dai titolari dei dati per quanto riguarda tutte le questioni relative a tale entità. Il rappresentante_legale collabora con le autorità competenti per la registrazione delle organizzazioni per l'altruismo dei dati e, su richiesta, dimostra loro in modo esauriente le misure adottate e le disposizioni messe in atto dall'entità per garantire la conformità al presente regolamento.

L'entità è considerata soggetta alla giurisdizione dello Stato membro in cui è situato il rappresentante_legale. Tale entità può presentare una domanda di registrazione nel registro pubblico nazionale delle organizzazioni per l'altruismo dei dati riconosciute in tale Stato membro. La designazione di un rappresentante_legale a cura dell'entità fa salve eventuali azioni legali che potrebbero essere promosse contro l'entità.

4. La domanda di registrazione di cui ai paragrafi 1, 2 e 3 contiene le informazioni seguenti:

a)	il nome dell'entità;

b)	lo status giuridico, la forma giuridica e, qualora essa sia registrata in un registro pubblico nazionale, il numero di registrazione dell'entità;

c)	lo statuto dell'entità, se opportuno;

d)	le fonti di reddito dell'entità;

e)	l'indirizzo dell'eventuale stabilimento_principale dell'entità nell'Unione e, se opportuno, di eventuali sedi secondarie in un altro Stato membro o quello del rappresentante_legale;

f)	un sito web pubblico in cui sono reperibili informazioni complete e aggiornate sull'entità e sulle sue attività, comprese almeno le informazioni di cui alle lettere a), b), d), e) e h);

g)	le persone di contatto dell'entità e i relativi recapiti;

h)	gli obiettivi di interesse generale che l'entità intende promuovere raccogliendo i dati;

i)	la natura dei dati che l'entità intende controllare o trattare e, nel caso di dati personali, l'indicazione delle categorie di dati personali;

j)	qualsiasi altro documento che dimostri il soddisfacimento dei requisiti di cui all'articolo 18.

5. Qualora l'entità abbia presentato tutte le informazioni necessarie a norma del paragrafo 4 e una volta che l'autorità competente per la registrazione delle organizzazioni per l'altruismo dei dati abbia valutato la domanda di registrazione e concluso che l'entità soddisfa i requisiti di cui all'articolo 18, l'autorità competente registra l'entità nel registro pubblico nazionale delle organizzazioni per l'altruismo dei dati riconosciute entro 12 settimane dalla data di ricevimento della domanda di registrazione. La registrazione è valida in tutti gli Stati membri.

L'autorità competente per la registrazione delle organizzazioni per l'altruismo dei dati notifica ogni registrazione alla Commissione. La Commissione inserisce tale registrazione nel registro pubblico dell'Unione delle organizzazioni per l'altruismo dei dati riconosciute.

6. Le informazioni di cui al paragrafo 4, lettere a), b), f), g) e h), sono pubblicate nel registro pubblico nazionale pertinente delle organizzazioni per l'altruismo dei dati riconosciute.

7. Un'organizzazione per l'altruismo dei dati riconosciuta notifica alla pertinente autorità competente per la registrazione delle organizzazioni per l'altruismo dei dati le eventuali modifiche delle informazioni fornite a norma del paragrafo 4 entro 14 giorni dalla data della modifica.

L'autorità competente per la registrazione delle organizzazioni per l'altruismo dei dati notifica senza ritardo alla Commissione, per via elettronica, ciascuna di tali notifiche. Sulla base di tale notifica la Commissione aggiorna senza ritardo il registro pubblico dell'Unione delle organizzazioni per l'altruismo dei dati riconosciute.

Articolo 20

Obblighi di trasparenza

1. Un'organizzazione per l'altruismo dei dati riconosciuta tiene registri completi e accurati per quanto riguarda:

a)	tutte le persone fisiche o giuridiche cui è stata data la possibilità di trattare i dati detenuti da tale organizzazione per l'altruismo dei dati riconosciuta, e i loro recapiti;

b)	la data o la durata del trattamento dei dati personali o dell'utilizzo di dati non personali;

c)	le finalità del trattamento, quali dichiarate dalla persona fisica o giuridica cui è stata data la possibilità di effettuarlo;

d)	le eventuali tariffe pagate dalle persone fisiche o giuridiche che trattano i dati.

2. Un'organizzazione per l'altruismo dei dati riconosciuta elabora e trasmette alla pertinente autorità competente per la registrazione delle organizzazioni per l'altruismo dei dati una relazione annuale di attività che contiene almeno gli elementi seguenti:

a)	informazioni sulle attività dell'organizzazione per l'altruismo dei dati riconosciuta;

b)	una descrizione delle modalità con cui, nel corso dell'esercizio finanziario in questione, sono stati promossi gli obiettivi di interesse generale per le quali sono stati raccolti i dati;

un elenco di tutte le persone fisiche e giuridiche che sono state autorizzate a trattare i dati detenuti dall'entità, corredato di una descrizione sintetica degli obiettivi di interesse generale perseguiti da tale trattamento dei dati e di una descrizione dei mezzi tecnici impiegati a tal fine, compresa una descrizione delle tecniche utilizzate per tutelare la vita privata e la protezione dei dati;

d)	una sintesi dei risultati dei trattamenti dei dati autorizzati dall'organizzazione per l'altruismo dei dati riconosciuta, se opportuno;

e)	informazioni sulle fonti di entrate dell'organizzazione per l'altruismo dei dati riconosciuta, in particolare tutte le entrate derivanti dall' autorizzazione all' accesso ai dati, e sulle spese.

Articolo 23

autorità competenti per la registrazione di organizzazioni per l'altruismo dei dati

1. Ciascuno Stato membro designa una o più autorità competenti responsabili del registro pubblico nazionale delle organizzazioni per l'altruismo dei dati riconosciute.

Le autorità competenti per la registrazione di organizzazioni per l'altruismo dei dati rispettano i requisiti di cui all'articolo 26.

2. Ciascuno Stato membro notifica alla Commissione l'identità delle proprie autorità competenti per la registrazione delle organizzazioni per l'altruismo dei dati entro il 24 settembre 2023. Ciascuno Stato membro notifica alla Commissione ogni successiva modifica dell'identità di tali autorità competenti.

3. L'autorità competente per la registrazione delle organizzazioni per l'altruismo dei dati di uno Stato membro svolge i propri compiti in collaborazione con la pertinente autorità per la protezione dei dati, qualora tali compiti siano connessi al trattamento dei dati personali, e con le pertinenti autorità settoriali dello Stato membro in questione.

Articolo 24

Monitoraggio della conformità

1. Le autorità competenti per la registrazione delle organizzazioni per l'altruismo dei dati monitorano e controllano la conformità alle prescrizioni stabilite nel presente capo da parte organizzazioni per l'altruismo dei dati riconosciute. L'autorità competente per la registrazione delle organizzazioni per l'altruismo dei dati può inoltre monitorare e controllare la conformità di tali organizzazioni per l'altruismo dei dati riconosciute su richiesta di persone fisiche o giuridiche.

2. Le autorità competenti per la registrazione delle organizzazioni per l'altruismo dei dati hanno il potere di richiedere alle organizzazioni per l'altruismo dei dati riconosciute le informazioni necessarie a verificare il rispetto delle prescrizioni del presente capo. Le richieste di informazioni sono motivate e proporzionate rispetto all'assolvimento del compito.

3. L'autorità competente per la registrazione delle organizzazioni per l'altruismo dei dati che accerti l'inosservanza da parte di un’organizzazione per l'altruismo dei dati riconosciuta di una o più prescrizioni di cui al presente capo, notifica all'organizzazioni per l'altruismo dei dati riconosciuta quanto accertato e le offre l'opportunità di esprimere osservazioni entro 30 giorni dal ricevimento della notifica.

4. L'autorità competente per la registrazione delle organizzazioni per l'altruismo dei dati ha il potere di imporre la cessazione della violazione di cui al paragrafo 3 immediatamente oppure entro un termine ragionevole e adotta misure adeguate e proporzionate volte ad assicurare l'osservanza.

5. Qualora un’organizzazione per l'altruismo dei dati riconosciuta non rispetti una o più prescrizioni di cui al presente capo anche dopo aver ricevuto la notifica dell'autorità competente per la registrazione delle organizzazioni per l'altruismo dei dati conformemente al paragrafo 3, tale organizzazione per l'altruismo dei dati riconosciuta:

a)	perde il diritto di utilizzare il titolo di «organizzazione per l'altruismo dei dati riconosciuta nell'Unione» in qualsiasi comunicazione scritta e orale;

b)	è rimossa dal pertinente registro pubblico nazionale delle organizzazioni per l'altruismo dei dati riconosciute e dal registro pubblico dell'Unione delle organizzazioni per l'altruismo dei dati riconosciute.

L'autorità competente per la registrazione delle organizzazioni per l'altruismo dei dati rende pubblica ogni decisione di revoca del diritto di utilizzare il titolo di «organizzazione per l'altruismo dei dati riconosciuta nell'Unione» a norma del primo comma, lettera a).

6. Se un'organizzazione per l'altruismo dei dati riconosciuta ha lo stabilimento_principale o il rappresentante_legale in uno Stato membro ma è attiva in altri Stati membri, l'autorità competente per la registrazione delle organizzazioni per l'altruismo dei dati dello Stato membro in cui si trova lo stabilimento_principale o il rappresentante_legale e le autorità competenti per la registrazione delle organizzazioni per l'altruismo dei dati di tali altri Stati membri collaborano e si prestano reciprocamente assistenza. Tali assistenza e collaborazione possono comprendere scambi di informazioni tra le autorità competenti per la registrazione delle organizzazioni per l'altruismo dei dati interessate ai fini dei compiti stabiliti nel presente regolamento e richieste motivate di adottare le misure di cui al presente articolo.

Se un'autorità competente per la registrazione delle organizzazioni per l'altruismo dei dati di uno Stato membro chiede assistenza all'autorità competente per la registrazione delle organizzazioni per l'altruismo dei dati di un altro Stato membro, essa presenta una richiesta motivata. A seguito di tale richiesta, l'autorità competente per la registrazione delle organizzazioni per l'altruismo dei dati fornisce una risposta senza ritardo ed entro un termine proporzionato all'urgenza della richiesta.

Tutte le informazioni scambiate nel quadro dell'assistenza richiesta e prestata a norma del presente paragrafo sono utilizzate solo in relazione alla questione per cui sono state richieste.

Articolo 25

Modulo europeo di consenso all'altruismo dei dati

1. Al fine di facilitare la raccolta dei dati basata sull'altruismo dei dati, la Commissione adotta atti di esecuzione per l'istituzione e l'elaborazione di un modulo europeo di consenso all'altruismo dei dati, previa consultazione del comitato europeo per la protezione dei dati, tenendo conto del parere del comitato europeo per l'innovazione in materia di dati e coinvolgendo opportunamente i pertinenti portatori di interessi. Il modulo permette di raccogliere il consenso o l’ autorizzazione in un formato uniforme in tutti gli Stati membri. Tali atti di esecuzione sono adottati secondo la procedura consultiva di cui all'articolo 33, paragrafo 2.

2. Il modulo europeo di consenso all'altruismo dei dati utilizza un approccio modulare che ne consente la personalizzazione in funzione di settori specifici e finalità diverse.

3. Qualora siano forniti dati personali, il modulo europeo di consenso all'altruismo dei dati garantisce che gli interessati possano dare e revocare il proprio consenso a una specifica operazione di trattamento dei dati conformemente alle prescrizioni di cui al regolamento (UE) 2016/679.

4. Il modulo è disponibile in un formato stampabile e facilmente comprensibile nonché in un formato elettronico predisposto per la lettura automatica.

CAPO V

autorità competenti e disposizioni procedurali

Articolo 26

Requisiti relativi alle autorità competenti

1. Le autorità competenti per i servizi di intermediazione dei dati e le autorità competenti per la registrazione delle organizzazioni per l'altruismo dei dati sono giuridicamente distinte e funzionalmente indipendenti da qualsiasi fornitore di servizi di intermediazione dei dati o organizzazione per l'altruismo dei dati riconosciuta. Le funzioni delle autorità competenti per i servizi di intermediazione dei dati e le autorità competenti per la registrazione delle organizzazioni per l'altruismo dei dati possono essere svolte dalla stessa autorità. Gli Stati membri possono istituire una o più autorità nuove per tali finalità o avvalersi di quelle esistenti.

2. Le autorità competenti per i servizi di intermediazione dei dati e le autorità competenti per la registrazione delle organizzazioni per l'altruismo dei dati svolgono i loro compiti in maniera imparziale, trasparente, coerente, affidabile e tempestiva. Nell'esercizio dei loro compiti, esse salvaguardano la concorrenza leale e la non discriminazione.

3. L'alta dirigenza e il personale addetto allo svolgimento dei compiti pertinenti delle autorità competenti per i servizi di intermediazione dei dati e le autorità competenti per la registrazione delle organizzazioni per l'altruismo dei dati non possono essere il progettista, il fabbricante, il fornitore, l'installatore, l'acquirente, il proprietario, l'utente o il responsabile della manutenzione dei servizi che essi valutano, né il rappresentante autorizzato di uno di questi soggetti, né rappresentarli. Ciò non preclude l'uso dei servizi valutati che sono necessari per il funzionamento dell'autorità competente per i servizi di intermediazione dei dati e l'autorità competente per la registrazione delle organizzazioni per l'altruismo dei dati o l'uso di tali servizi per scopi personali.

4. L'alta dirigenza e il personale delle autorità competenti per i servizi di intermediazione dei dati e le autorità competenti per la registrazione delle organizzazioni per l'altruismo dei dati non intraprendono alcuna attività che possa entrare in conflitto con la loro indipendenza di giudizio o la loro integrità in relazione alle attività di valutazione loro affidate.

5. Le autorità competenti per i servizi di intermediazione dei dati e le autorità competenti per la registrazione delle organizzazioni per l'altruismo dei dati hanno a loro disposizione le risorse finanziarie e umane adeguate per svolgere i compiti loro affi dati, comprese le risorse e le conoscenze tecniche necessarie.

6. Su richiesta motivata e senza ritardo, le autorità competenti per i servizi di intermediazione dei dati e le autorità competenti per la registrazione delle organizzazioni per l'altruismo dei dati di uno Stato membro forniscono alla Commissione e alle autorità competenti per i servizi di intermediazione dei dati e le autorità competenti per la registrazione delle organizzazioni per l'altruismo dei dati degli altri Stati membri le informazioni necessarie a svolgere i loro compiti a norma del presente regolamento. Qualora un'autorità competente per i servizi di intermediazione dei dati o un'autorità competente per la registrazione delle organizzazioni per l'altruismo dei dati ritenga che le informazioni richieste siano riservate conformemente alle norme dell'Unione e nazionali in materia di riservatezza commerciale e segreto professionale, la Commissione e le altre autorità competenti per i servizi di intermediazione dei dati o le autorità competenti per la registrazione delle organizzazioni per l'altruismo dei dati interessate garantiscono tale riservatezza.

Articolo 27

Diritto di presentare un reclamo

1. In relazione a qualunque aspetto che rientri nell'ambito di applicazione del presente regolamento le persone fisiche e giuridiche hanno il diritto di presentare un reclamo individuale o, se del caso, collettivo alla pertinente autorità nazionale per i servizi di intermediazione dei dati competente nei confronti di un fornitore di servizi di intermediazione dei dati o all'autorità competente per la registrazione delle organizzazioni per l'altruismo dei dati nei confronti di un'organizzazioni per l'altruismo dei dati riconosciuta.

2. L'autorità competente per i servizi di intermediazione dei dati o l'autorità competente per la registrazione delle organizzazioni per l'altruismo dei dati a cui à stato presentato il reclamo informa il reclamante:

a)	dello stato del procedimento e della decisione adottata; nonché

b)	dei ricorsi giurisdizionali di cui all'articolo 28.

Articolo 28

Diritto a un ricorso giurisdizionale effettivo

1. Fatti salvi eventuali ricorsi amministrativi o altri ricorsi extragiudiziali, le persone fisiche e giuridiche interessate hanno diritto a un ricorso giurisdizionale effettivo per quanto riguarda le decisioni giuridicamente vincolanti di cui all'articolo 14 adottate dalle autorità competenti per i servizi di intermediazione dei dati nell'ambito della gestione, del controllo e dell'applicazione del regime di notifica per i fornitori di servizi di intermediazione dei dati e le decisioni giuridicamente vincolanti di cui agli articoli 19 e 24 adottate dalle autorità competenti per la registrazione delle organizzazioni per l'altruismo dei dati nell'ambito del monitoraggio delle organizzazioni per l'altruismo dei dati riconosciute.

2. I procedimenti a norma del presente articolo sono presentati dinanzi agli organi giurisdizionali dello Stato membro dell'autorità competente per i servizi di intermediazione dei dati o l'autorità competente per la registrazione delle organizzazioni per l'altruismo dei dati contro cui è mosso il ricorso giurisdizionale individualmente o, se del caso, collettivamente dai rappresentanti di una o più persone fisiche o giuridiche.

3. Se un'autorità competente per i servizi di intermediazione dei dati o l'autorità competente per la registrazione delle organizzazioni per l'altruismo dei dati non dà seguito a un reclamo, le persone fisiche e giuridiche interessate, conformemente al diritto nazionale, hanno diritto a un ricorso giurisdizionale effettivo o hanno accesso al riesame da parte di un organo imparziale dotato delle competenze adeguate.

CAPO VI

Comitato europeo per l'innovazione in materia di dati

Articolo 29

Comitato europeo per l'innovazione in materia di dati

1. La Commissione istituisce un comitato europeo per l'innovazione in materia di dati sotto forma di un gruppo di esperti, costituito da rappresentanti delle autorità competenti per i servizi di intermediazione dei dati e delle autorità competenti per la registrazione delle organizzazioni per l'altruismo dei dati di tutti gli Stati membri, del comitato europeo per la protezione dei dati, del garante europeo della protezione dei dati, dell'ENISA, della Commissione, dal rappresentante dell'UE per le PMI o da un rappresentante nominato dalla rete dei rappresentanti per le PMI e da altri rappresentanti di organi pertinenti di settori specifici nonché di organi con competenze specifiche. Nel nominare i singoli esperti, la Commissione mira a conseguire un equilibrio geografico e di genere tra i membri del gruppo di esperti.

2. Il comitato europeo per l'innovazione in materia di dati è composto da almeno tre dei sottogruppi seguenti:

a)	un sottogruppo costituito dalle autorità competenti per i servizi di intermediazione dei dati e dalle autorità competenti per la registrazione delle organizzazioni per l'altruismo dei dati per lo svolgimento dei compiti di cui all'articolo 30, lettere a), c), j) e k),

b)	un sottogruppo per le discussioni tecniche su normazione, portabilità e interoperabilità a norma dell'articolo 30, lettere f) e g);

un sottogruppo per il coinvolgimento dei portatori di interessi composto da rappresentanti pertinenti delle imprese, delle organizzazioni di ricerca, universitarie, della società civile e di normazione, dei pertinenti spazi comuni europei di dati e altri portatori di interessi e terzi interessati che forniscono consulenza al comitato europeo per l'innovazione in materia di dati in merito ai compiti di cui all'articolo 30, lettere d), e), f), g) e h).

3. La Commissione presiede le riunioni del comitato europeo per l'innovazione in materia di dati.

4. Il comitato europeo per l'innovazione in materia di dati è assistito da un segretariato fornito dalla Commissione.

Articolo 30

Compiti del comitato europeo per l'innovazione in materia di dati

Il comitato europeo per l'innovazione in materia di dati svolge i compiti seguenti:

a)	consiglia e assiste la Commissione nello sviluppo di una prassi coerente degli enti pubblici e degli organismi competenti di cui all'articolo 7, paragrafo 1, per il trattamento delle richieste di riutilizzo delle categorie di dati di cui all'articolo 3, paragrafo 1;

b)	consiglia e assiste la Commissione nello sviluppo di una prassi coerente in materia di altruismo dei dati in tutta l'Unione;

consiglia e assiste la Commissione nello sviluppo di una prassi coerente delle autorità competenti per i servizi di intermediazione dei dati e le autorità competenti per la registrazione delle organizzazioni per l'altruismo dei dati per l'applicazione delle prescrizioni applicabili rispettivamente ai fornitori di servizi di intermediazione dei dati e alle organizzazioni per l'altruismo dei dati riconosciute;

consiglia e assiste la Commissione nell'elaborazione di orientamenti coerenti sulle modalità per proteggere al meglio, nel contesto del presente regolamento, i dati commerciali sensibili non personali, in particolare i segreti commerciali, ma anche i dati non personali che costituiscono un contenuto protetto da diritti di proprietà intellettuale da un accesso illecito che comporti il rischio di furto della proprietà intellettuale o di spionaggio industriale;

e)	consiglia e assiste la Commissione nell'elaborazione di orientamenti coerenti sulle prescrizioni in materia di cibersicurezza per lo scambio e la conservazione dei dati;

consiglia la Commissione, tenendo conto in particolare del contributo delle organizzazioni di normazione, in merito alla priorità da attribuire alle norme intersettoriali da utilizzare e sviluppare per l'utilizzo dei dati e la condivisione intersettoriale dei dati tra spazi di dati comuni europei emergenti, alla comparabilità e allo scambio intersettoriali di buone pratiche per quanto riguarda le prescrizioni settoriali in materia di sicurezza e alle procedure di accesso, tenendo conto delle attività di normazione specifiche per settore, in particolare al fine di chiarire e distinguere quali norme e prassi sono intersettoriali e quali sono settoriali;

assiste la Commissione, tenendo conto in particolare del contributo delle organizzazioni di normazione, nel far fronte alla frammentazione del mercato interno e dell'economia dei dati nel mercato interno mediante il rafforzamento dell'interoperabilità transfrontaliera e intersettoriale dei dati e dei servizi di condivisione dei dati tra diversi settori e ambiti, integrando le norme europee, internazionali o nazionali esistenti, anche allo scopo di incoraggiare la creazione di spazi comuni europei di dati;

propone orientamenti per gli spazi comuni europei di dati, ossia indica quadri interoperabili specifici settoriali o intersettoriali di norme e prassi comuni per condividere o trattare congiuntamente i dati, anche ai fini dello sviluppo di nuovi prodotti e servizi, della ricerca scientifica o di iniziative della società civile; tali norme e prassi comuni tengono conto delle norme esistenti, rispettano le regole di concorrenza e garantiscono un accesso non discriminatorio a tutti i partecipanti, onde agevolare la condivisione dei dati nell'Unione e sfruttare il potenziale degli spazi di dati esistenti e futuri, affrontando tra l'altro questioni quali:

le norme intersettoriali da utilizzare e sviluppare per l'utilizzo dei dati e la condivisione intersettoriale dei dati, la comparabilità e lo scambio intersettoriali di buone pratiche per quanto riguarda le prescrizioni settoriali in materia di sicurezza e le procedure di accesso, tenendo conto delle attività di normazione specifiche per settore, in particolare al fine di chiarire e distinguere quali norme e prassi sono intersettoriali e quali sono settoriali;

ii)	i requisiti intesi a contrastare gli ostacoli all'ingresso nel mercato ed evitare effetti di lock-in, al fine di garantire concorrenza leale e interoperabilità;

iii)	un'adeguata tutela dei trasferimenti legali di dati a paesi terzi, tra cui le garanzie contro i trasferimenti vietati dal diritto dell'Unione;

iv)	una rappresentanza adeguata e non discriminatoria dei pertinenti portatori di interessi nella governance degli spazi comuni europei di dati;

v)	l'osservanza dei requisiti di cibersicurezza in conformità con il diritto dell'Unione;

i)	facilita la cooperazione tra gli Stati membri in merito alla definizione di condizioni armonizzate per il riutilizzo delle categorie di dati di cui all'articolo 3, paragrafo 1, detenuti da enti pubblici nell'intero mercato interno;

facilita la cooperazione tra le autorità competenti per i servizi di intermediazione dei dati e le autorità competenti per la registrazione delle organizzazioni per l'altruismo dei dati attraverso lo sviluppo di capacità e lo scambio di informazioni, in particolare stabilendo metodi per lo scambio efficiente di informazioni relative alla procedura di notifica per i fornitori di servizi di intermediazione dei dati e alla registrazione e al monitoraggio delle organizzazioni per l'altruismo dei dati riconosciute, compreso il coordinamento in merito alla fissazione di tariffe o sanzioni, e facilita altresì la cooperazione tra le autorità competenti per i servizi di intermediazione dei dati e le autorità competenti per la registrazione delle organizzazioni per l'altruismo dei dati in relazione all' accesso internazionale e al trasferimento dei dati;

k)	consiglia e assiste la Commissione nel valutare se debbano essere adottati atti di esecuzione di cui all'articolo 5, paragrafi 11 e 12;

l)	consiglia e assiste la Commissione nell'elaborazione del modulo europeo di consenso all'altruismo dei dati in conformità dell'articolo 25, paragrafo 1;

m)	consiglia la Commissione in merito al miglioramento del contesto normativo internazionale relativo ai dati non personali, compresa la normazione.

CAPO VII

Accesso internazionale e trasferimento

Articolo 31

Accesso internazionale e trasferimento

1. L' ente_pubblico, la persona fisica o giuridica cui è stato concesso il diritto di riutilizzo dei dati a norma del capo II, il fornitore di servizi di intermediazione dei dati, o l'organizzazione per l'altruismo dei dati riconosciuta, adotta tutte le ragionevoli misure tecniche, giuridiche e organizzative, compresi accordi contrattuali, per impedire il trasferimento internazionale di dati non personali detenuti nell'Unione o l' accesso a questi ultimi da parte delle autorità pubbliche qualora tale trasferimento o accesso confliggesse con il diritto dell'Unione o il diritto nazionale dello Stato membro pertinente, fatto salvo il paragrafo 2 o 3.

2. Le decisioni o le sentenze di un'autorità giurisdizionale di un paese terzo e le decisioni di un'autorità amministrativa di un paese terzo che dispongano che un ente_pubblico, una persona fisica o giuridica cui è stato concesso il diritto di riutilizzo dei dati a norma del capo II, un fornitore di servizi di intermediazione dei dati o un'organizzazione per l'altruismo dei dati riconosciuta trasferiscano dati non personali detenuti nell'Unione o vi diano accesso nell'ambito di applicazione del presente regolamento sono rinconosciute o assumono qualsivoglia carattere esecutivo soltanto se basate su un accordo internazionale in vigore tra il paese terzo richiedente e l'Unione, ad esempio un trattato di mutua assistenza giudiziaria, o su un accordo di questo tipo concluso tra il paese terzo richiedente e uno Stato membro.

3. In mancanza di un accordo internazionale di cui al paragrafo 2 del presente articolo, qualora un ente_pubblico, una persona fisica o giuridica cui è stato concesso il diritto di riutilizzo dei dati a norma del capo II, un fornitore di servizi di intermediazione dei dati o un'organizzazione per l'altruismo dei dati riconosciuta siano destinatari di una decisione o di una sentenza di un'autorità giurisdizionale di un paese terzo o di una decisione di un'autorità amministrativa di un paese terzo che ordini il trasferimento di dati non personali detenuti nell'Unione o che vi sia dato accesso nell'ambito di applicazione del presente regolamento, e il rispetto di tale decisione rischi di mettere il destinatario in conflitto con il diritto dell'Unione o con il diritto nazionale dello Stato membro pertinente, il trasferimento di tali dati o l' accesso agli stessi da parte di tale autorità di un paese terzo ha luogo solo se:

a)	il sistema del paese terzo richiede che siano indicati i motivi e la proporzionalità della decisione o della sentenza, e richiede che tale decisione o sentenza abbia carattere specifico, ad esempio stabilendo un nesso sufficiente con determinate persone sospettate o determinate violazioni;

b)	l'obiezione motivata del destinatario è oggetto di esame da parte di un’autorità giurisdizionale competente del paese terzo; e

l'autorità giurisdizionale competente del paese terzo che emette la decisione o la sentenza o esamina la decisione di un'autorità amministrativa ha il potere, in virtù del diritto di tale paese terzo, di tenere debitamente conto dei pertinenti interessi giuridici del fornitore dei dati tutelati a norma del diritto dell'Unione o dal diritto nazionale del pertinente Stato membro.

4. Se le condizioni di cui ai paragrafi 2 o 3 sono soddisfatte, l' ente_pubblico, la persona fisica o giuridica cui è stato concesso il diritto di riutilizzo dei dati a norma del capo II, il fornitore di servizi di intermediazione dei dati o l'organizzazione per l'altruismo dei dati riconosciuta fornisce la quantità minima di dati ammissibile in risposta a una richiesta, sulla base di un'interpretazione ragionevole della richiesta.

5. L' ente_pubblico, la persona fisica o giuridica cui è stato concesso il diritto di riutilizzo dei dati a norma del capo II, il fornitore di servizi di intermediazione dei dati e l'organizzazione per l'altruismo dei dati riconosciuta informano il titolare dei dati dell'esistenza di una richiesta di accesso ai suoi dati da parte di un'autorità amministrativa di un paese terzo prima di soddisfare tale richiesta, tranne nei casi in cui la richiesta abbia fini di contrasto e per il tempo necessario a preservare l'efficacia dell'attività di contrasto.

CAPO VIII

Delega e procedura di comitato

Articolo 36

Modifica del regolamento (UE) 2018/1724

Nella tabella di cui all'allegato II del regolamento (UE) 2018/1724, la voce «Avvio, gestione e chiusura di un'impresa» è sostituita dalla seguente:

Eventi della vita	Procedure	Risultati previsti fatta salva una valutazione della domanda da parte dell'autorità competente conformemente al diritto nazionale, se del caso
Avvio, gestione e chiusura di un'impresa	Notifica di un'attività commerciale, licenza per l'esercizio di un'attività commerciale, modifiche di un'attività commerciale e cessazione di un'attività commerciale senza procedure di insolvenza o liquidazione, esclusa la registrazione iniziale di un'attività commerciale nel registro delle imprese ed escluse le procedure relative alla costituzione di imprese o società ai sensi dell'articolo 54, secondo comma, TFUE, o a qualsiasi fascicolo presentato successivamente da queste ultime	Conferma di ricevimento della notifica o della modifica, o della richiesta di licenza di attività commerciale
	Iscrizione di un datore di lavoro (persona fisica) presso i regimi pensionistici e assicurativi obbligatori	Conferma della registrazione o numero di sicurezza sociale
	Iscrizione di dipendenti presso i regimi pensionistici e assicurativi obbligatori	Conferma della registrazione o numero di sicurezza sociale
	Presentazione di una dichiarazione dei redditi d'impresa	Conferma di ricevimento della dichiarazione
	Notifica ai regimi di sicurezza sociale della fine del contratto con un dipendente, escluse le procedure per la risoluzione collettiva dei contratti dei dipendenti	Conferma di ricevimento della notifica
	Pagamento dei contributi sociali per i lavoratori dipendenti	Ricevimento o altra forma di conferma del pagamento dei contributi sociali per i lavoratori dipendenti
	Notifica del fornitore di servizi di intermediazione dei dati	Conferma di ricevimento della notifica
	Registrazione come organizzazione per l'altruismo dei dati riconosciuta nell'Unione	Conferma della registrazione

Articolo 38

Entrata in vigore e applicazione

Il presente regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell'Unione europea.

Esso si applica a decorrere dal 24 settembre 2023.

Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.

Fatto a Bruxelles, il 30 maggio 2022

Per il Parlamento europeo

La presidente

R. METSOLA

Per il Consiglio

Il presidente

B. LE MAIRE

(1) GU C 286 del 16.7.2021, pag. 38.

(2) Posizione del Parlamento europeo del 6 aprile 2022 (non ancora pubblicata nella Gazzetta Ufficiale) e decisione del Consiglio del 16 maggio 2022.

(3) Raccomandazione 2003/361/CE della Commissione, del 6 maggio 2003, relativa alla definizione delle microimprese, piccole e medie imprese (GU L 124 del 20.5.2003, pag. 36).

(4) Direttiva 2011/24/UE del Parlamento europeo e del Consiglio, del 9 marzo 2011, concernente l'applicazione dei diritti dei pazienti relativi all'assistenza sanitaria transfrontaliera (GU L 88 del 4.4.2011, pag. 45).

(5) Regolamento (UE) 2019/1239 del Parlamento europeo e del Consiglio, del 20 giugno 2019, che istituisce un sistema di interfaccia unica marittima europea e abroga la direttiva 2010/65/UE (GU L 198 del 25.7.2019, pag. 64).

(6) Regolamento (UE) 2020/1056 del Parlamento europeo e del Consiglio, del 15 luglio 2020, relativo alle informazioni elettroniche sul trasporto merci (GU L 249 del 31.7.2020, pag. 33).

(7) Direttiva 2010/40/UE del Parlamento europeo e del Consiglio, del 7 luglio 2010, sul quadro generale per la diffusione dei sistemi di trasporto intelligenti nel settore del trasporto stradale e nelle interfacce con altri modi di trasporto (GU L 207 del 6.8.2010, pag. 1).

(8) Regolamento (CE) n. 223/2009 del Parlamento europeo e del Consiglio, dell'11 marzo 2009, relativo alle statistiche europee e che abroga il regolamento (CE, Euratom) n. 1101/2008 del Parlamento europeo e del Consiglio, relativo alla trasmissione all'Istituto statistico delle Comunità europee di dati statistici protetti dal segreto, il regolamento (CE) n. 322/97 del Consiglio, relativo alle statistiche comunitarie, e la decisione 89/382/CEE, Euratom del Consiglio, che istituisce un comitato del programma statistico delle Comunità europee (GU L 87 del 31.3.2009, pag. 164).

(9) Regolamento (UE) 2018/858 del Parlamento europeo e del Consiglio, del 30 maggio 2018, relativo all'omologazione e alla vigilanza del mercato dei veicoli a motore e dei loro rimorchi, nonché dei sistemi, dei componenti e delle entità tecniche indipendenti destinati a tali veicoli, che modifica i regolamenti (CE) n. 715/2007 e (CE) n. 595/2009 e abroga la direttiva 2007/46/CE (GU L 151 del 14.6.2018, pag. 1).

(10) Regolamento (UE) 2018/1807 del Parlamento europeo e del Consiglio, del 14 novembre 2018, relativo a un quadro applicabile alla libera circolazione dei dati non personali nell'Unione europea (GU L 303 del 28.11.2018, pag. 59).

(11) Direttiva 2000/31/CE del Parlamento europeo e del Consiglio, dell'8 giugno 2000, relativa a taluni aspetti giuridici dei servizi della società dell'informazione, in particolare il commercio elettronico, nel mercato interno («Direttiva sul commercio elettronico») (GU L 178 del 17.7.2000, pag. 1).

(12) Direttiva 2001/29/CE del Parlamento europeo e del Consiglio, del 22 maggio 2001, sull'armonizzazione di taluni aspetti del diritto d'autore e dei diritti connessi nella società dell'informazione (GU L 167 del 22.6.2001, pag. 10).

(13) Direttiva 2004/48/CE del Parlamento europeo e del Consiglio, del 29 aprile 2004, sul rispetto dei diritti di proprietà intellettuale (GU L 157 del 30.4.2004, pag. 45).

(14) Direttiva 2007/2/CE del Parlamento europeo e del Consiglio, del 14 marzo 2007, che istituisce un'Infrastruttura per l'informazione territoriale nella Comunità europea (Inspire) (GU L 108 del 25.4.2007, pag. 1).

(15) Direttiva (UE) 2015/849 del Parlamento europeo e del Consiglio, del 20 maggio 2015, relativa alla prevenzione dell'uso del sistema finanziario a fini di riciclaggio o finanziamento del terrorismo, che modifica il regolamento (UE) n. 648/2012 del Parlamento europeo e del Consiglio e che abroga la direttiva 2005/60/CE del Parlamento europeo e del Consiglio e la direttiva 2006/70/CE della Commissione (GU L 141 del 5.6.2015, pag. 73).

(16) Direttiva (UE) 2016/943 del Parlamento europeo e del Consiglio, dell'8 giugno 2016, sulla protezione del know-how riservato e delle informazioni commerciali riservate (segreti commerciali) contro l'acquisizione, l'utilizzo e la divulgazione illeciti (GU L 157 del 15.6.2016, pag. 1).

(17) Direttiva (UE) 2017/1132 del Parlamento europeo e del Consiglio, del 14 giugno 2017, relativa ad alcuni aspetti di diritto societario (GU L 169 del 30.6.2017, pag. 46).

(18) Direttiva (UE) 2019/790 del Parlamento europeo e del Consiglio, del 17 aprile 2019, sul diritto d'autore e sui diritti connessi nel mercato unico digitale e che modifica le direttive 96/9/CE e 2001/29/CE (GU L 130 del 17.5.2019, pag. 92).

(19) Direttiva (UE) 2019/1024 del Parlamento europeo e del Consiglio, del 20 giugno 2019, relativa all'apertura dei dati e al riutilizzo dell'informazione del settore pubblico (GU L 172 del 26.6.2019, pag. 56).

(20) Direttiva 2009/81/CE del Parlamento europeo e del Consiglio, del 13 luglio 2009, relativa al coordinamento delle procedure per l'aggiudicazione di taluni appalti di lavori, di forniture e di servizi nei settori della difesa e della sicurezza da parte delle amministrazioni aggiudicatrici/degli enti aggiudicatori, e recante modifica delle direttive 2004/17/CE e 2004/18/CE (GU L 216 del 20.8.2009, pag. 76).

(21) Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU L 119 del 4.5.2016, pag. 1).

(22) Regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell'Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE (GU L 295 del 21.11.2018, pag. 39).

(23) Direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche) (GU L 201 del 31.7.2002, pag. 37).

(24) Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio (GU L 119 del 4.5.2016, pag. 89).

(25) Regolamento (UE) n. 557/2013 della Commissione, del 17 giugno 2013, che applica il regolamento (CE) n. 223/2009 del Parlamento europeo e del Consiglio relativo alle statistiche europee per quanto riguarda l' accesso ai dati riservati destinati a fini scientifici e che abroga il regolamento (CE) n. 831/2002 della Commissione (GU L 164 del 18.6.2013, pag. 16).

(26) Direttiva 96/9/CE del Parlamento europeo e del Consiglio, dell'11 marzo 1996, relativa alla tutela giuridica delle banche di dati (GU L 77 del 27.3.1996, pag. 20).

(27) Regolamento (UE) n. 600/2014 del Parlamento europeo e del Consiglio, del 15 maggio 2014, sui mercati degli strumenti finanziari e che modifica il regolamento (UE) n. 648/2012 (GU L 173 del 12.6.2014, pag. 84).

(28) Direttiva (UE) 2015/2366 del Parlamento europeo e del Consiglio, del 25 novembre 2015, relativa ai servizi di pagamento nel mercato interno, che modifica le direttive 2002/65/CE, 2009/110/CE e 2013/36/UE e il regolamento (UE) n. 1093/2010, e abroga la direttiva 2007/64/CE (GU L 337 del 23.12.2015, pag. 35).

(29) Regolamento (UE) 2018/1724 del Parlamento europeo e del Consiglio, del 2 ottobre 2018, che istituisce uno sportello digitale unico per l' accesso a informazioni, procedure e servizi di assistenza e di risoluzione dei problemi e che modifica il regolamento (UE) n. 1024/2012 (GU L 295 del 21.11.2018, pag. 1).

(30) GU L 123 del 12.5.2016, pag. 1.

(31) Regolamento (UE) n. 182/2011 del Parlamento europeo e del Consiglio, del 16 febbraio 2011, che stabilisce le regole e i principi generali relativi alle modalità di controllo da parte degli Stati membri dell'esercizio delle competenze di esecuzione attribuite alla Commissione (GU L 55 del 28.2.2011, pag. 13).

(32) Direttiva (UE) 2016/2102 del Parlamento europeo e del Consiglio, del 26 ottobre 2016, relativa all'accessibilità dei siti web e delle applicazioni mobili degli enti pubblici (GU L 327 del 2.12.2016, pag. 1).

(33) Direttiva (UE) 2019/882 del Parlamento europeo e del Consiglio, del 17 aprile 2019, sui requisiti di accessibilità dei prodotti e dei servizi (GU L 151 del 7.6.2019, pag. 70).

whereas

keyboard_tab Digital Governance Act 2022/0868 IT

Digital Governance Act 2022/0868 IT