Digital Governance Act 2022/0868 IT

2. Il presente regolamento non crea, per gli enti pubblici, alcun obbligo di consentire il riutilizzo dei dati, né esenta gli enti pubblici dai loro obblighi di riservatezza ai sensi del diritto dell'Unione o nazionale.

Il presente regolamento non pregiudica:

a)	le disposizioni specifiche contenute nel diritto dell'Unione o nazionale in materia di accesso a determinate categorie di dati o di riutilizzo degli stessi, in particolare riguardo la concessione dell' accesso a documenti ufficiali e la loro divulgazione; e

b)	gli obblighi degli enti pubblici a norma del diritto dell'Unione o nazionale di consentire il riutilizzo dei dati o i requisiti relativi al trattamento dei dati non personali.

Qualora una normativa settoriale dell'Unione o nazionale imponga agli enti pubblici, ai fornitori di servizi di intermediazione dei dati o alle organizzazioni per l'altruismo dei dati riconosciute di rispettare specifici requisiti tecnici, amministrativi o organizzativi aggiuntivi, anche attraverso un regime di autorizzazione o certificazione, si applicano anche le pertinenti disposizioni di tale normativa settoriale dell'Unione o nazionale. Eventuali requisiti specifici aggiuntivi sono non discriminatori, proporzionati e oggettivamente giustificati.

3. Il diritto dell'Unione e nazionale in materia di protezione dei dati personali si applica a qualsiasi dato personale trattato in relazione al presente regolamento. In particolare, il presente regolamento non pregiudica i regolamenti (UE) 2016/679 e (UE) 2018/1725 e le direttive 2002/58/CE e (UE) 2016/680, anche per quando riguarda i poteri e le competenze delle autorità di controllo. In caso di conflitto tra il presente regolamento e il diritto dell'Unione in materia di protezione dei dati personali o il diritto nazionale adottato conformemente a tale diritto dell'Unione, prevale il pertinente diritto dell'Unione o nazionale in materia di protezione dei dati personali. Il presente regolamento non crea una base giuridica per il trattamento dei dati personali e non influisce sui diritti e sugli obblighi di cui ai regolamenti (UE) 2016/679 e (UE) 2018/1725 o alle direttive 2002/58/CE o (UE) 2016/680.

4. Il presente regolamento lascia impregiudicata l'applicazione del diritto della concorrenza.

5. Il presente regolamento lascia impregiudicate le competenze degli Stati membri per quanto riguarda le loro attività in materia di sicurezza pubblica, difesa e sicurezza nazionale.

Articolo 2

Definizioni

Ai fini del presente regolamento si applicano le definizioni seguenti:

1)	« dati»: qualsiasi rappresentazione digitale di atti, fatti o informazioni e qualsiasi raccolta di tali atti, fatti o informazioni, anche sotto forma di registrazione sonora, visiva o audiovisiva;

« riutilizzo»: l'utilizzo di dati in possesso di enti pubblici da parte di persone fisiche o giuridiche a fini commerciali o non commerciali diversi dallo scopo iniziale nell'ambito dei compiti di servizio pubblico per i quali i dati sono stati prodotti, fatta eccezione per lo scambio di dati tra enti pubblici esclusivamente in adempimento dei loro compiti di servizio pubblico;

3)	« dati personali»: i dati personali quali definiti all'articolo 4, punto 1, del regolamento (UE) 2016/679;

4)	« dati non personali»: i dati diversi dai dati personali;

5)	« consenso»: consenso quale definito all'articolo 4, punto 11, del regolamento (UE) 2016/679;

6)	« autorizzazione»: il conferimento agli utenti dei dati del diritto al trattamento dei dati non personali;

7)	« interessato»: l' interessato ai sensi dell'articolo 4, punto 1, del regolamento (UE) 2016/679;

«titolare dei dati»: una persona giuridica, compresi gli enti pubblici e le organizzazioni internazionali, o una persona fisica che non è l' interessato rispetto agli specifici dati in questione e che, conformemente al diritto dell'Unione o nazionale applicabile, ha il diritto di concedere l' accesso a determinati dati personali o dati non personali o di condividerli;

9)	«utente dei dati»: una persona fisica o giuridica che ha accesso legittimo a determinati dati personali o non personali e che ha diritto, anche a norma del regolamento (UE) 2016/679 in caso di dati personali, a utilizzare tali dati a fini commerciali o non commerciali;

10)

«condivisione dei dati»: la fornitura di dati da un interessato o un titolare dei dati a un utente dei dati ai fini dell'utilizzo congiunto o individuale di tali dati, sulla base di accordi volontari o del diritto dell'Unione o nazionale, direttamente o tramite un intermediario, ad esempio nel quadro di licenze aperte o commerciali, dietro compenso o a titolo gratuito;

11)

«servizio di intermediazione dei dati»: un servizio che mira a instaurare, attraverso strumenti tecnici, giuridici o di altro tipo, rapporti commerciali ai fini della condivisione dei dati tra un numero indeterminato di interessati e di titolari dei dati, da un lato, e gli utenti dei dati, dall'altro, anche al fine dell'esercizio dei diritti degli interessati in relazione ai dati personali, ad esclusione almeno di:

servizi che ottengono dati dai titolari dei dati e li aggregano, arricchiscono o trasformano al fine di aggiungervi un valore sostanziale e concedono licenze per l'utilizzo dei dati risultanti agli utenti dei dati, senza instaurare un rapporto commerciale tra i titolari dei dati e gli utenti dei dati;

b)	servizi il cui obiettivo principale è l'intermediazione di contenuti protetti da diritto d'autore;

servizi utilizzati esclusivamente da un titolare dei dati per consentire l'utilizzo dei dati detenuti da tale titolare dei dati, oppure utilizzati da varie persone giuridiche all'interno di un gruppo chiuso, anche nel quadro di rapporti con i fornitori o i clienti o di collaborazioni contrattualmente stabilite, in particolare quelli aventi come obiettivo principale quello di garantire la funzionalità di oggetti o dispositivi connessi all'internet delle cose;

d)	servizi di condivisione dei dati offerti da enti pubblici che non mirano a instaurare rapporti commerciali;

12)	« trattamento»: il trattamento quale definito all'articolo 4, punto 2, del regolamento (UE) 2016/679 in materia di dati personali o all'articolo 3, punto (2), del Regolamento (UE) 2018/1807 in materia di dati non personali;

13)	« accesso»: l'utilizzo dei dati, conformemente a specifici requisiti tecnici, giuridici o organizzativi, che non implica necessariamente la trasmissione o lo scaricamento di dati;

14)	« stabilimento_principale» di una persona giuridica: il luogo in cui è stabilita la sua amministrazione centrale nell'Unione;

15)

«servizi di cooperative di dati»: servizi di intermediazione dei dati offerti da una struttura organizzativa costituita da interessati, imprese individuali o da PMI, che sono membri di tale struttura, avente come obiettivi principali quelli di aiutare i propri membri nell'esercizio dei loro diritti in relazione a determinati dati, anche per quanto riguarda il compiere scelte informate prima di acconsentire al trattamento dei dati, di procedere a uno scambio di opinioni sulle finalità e sulle condizioni del trattamento dei dati che rappresenterebbero al meglio gli interessi dei propri membri in relazione ai loro dati, o di negoziare i termini e le condizioni per il trattamento dei dati per conto dei membri prima di concedere l' autorizzazione al trattamento dei dati non personali o prima che essi diano il loro consenso al trattamento dei dati personali;

16)

«altruismo dei dati»: la condivisione volontaria di dati sulla base del consenso accordato dagli interessati al trattamento dei dati personali che li riguardano, o sulle autorizzazioni di altri titolari dei dati volte a consentire l'uso dei loro dati non personali, senza la richiesta o la ricezione di un compenso che vada oltre la compensazione dei costi sostenuti per mettere a disposizione i propri dati, per obiettivi di interesse generale, stabiliti nel diritto nazionale, ove applicabile, quali l'assistenza sanitaria, la lotta ai cambiamenti climatici, il miglioramento della mobilità, l'agevolazione dell'elaborazione, della produzione e della divulgazione di statistiche ufficiali, il miglioramento della fornitura dei servizi pubblici, l'elaborazione delle politiche pubbliche o la ricerca scientifica nell'interesse generale;

17)	« ente_pubblico»: le autorità statali, regionali o locali, gli organismi_di_diritto_pubblico o le associazioni formate da una o più di tali autorità oppure da uno o più di tali organismi_di_diritto_pubblico;

18)

« organismi_di_diritto_pubblico»: gli organismi che hanno le caratteristiche seguenti:

a)	sono istituiti per soddisfare specificatamente bisogni d'interesse generale e non hanno carattere industriale o commerciale;

b)	sono dotati di personalità giuridica;

le loro attività sono finanziate in modo maggioritario dallo Stato, da autorità regionali o locali o da altri organismi_di_diritto_pubblico, o la loro gestione è soggetta alla supervisione da parte di tali autorità o organismi, oppure sono dotati di un organo di amministrazione, di direzione o di vigilanza in cui più della metà dei membri è designata dallo Stato, da autorità regionali o locali o da altri organismi_di_diritto_pubblico;

19)

« impresa_pubblica»: qualsiasi impresa su cui gli enti pubblici possono esercitare, direttamente o indirettamente, un'influenza dominante perché ne sono proprietari, vi hanno una partecipazione finanziaria, o in virtù di norme che disciplinano l'impresa in questione; ai fini della presente definizione si presume un'influenza dominante in uno qualsiasi dei seguenti casi in cui tali enti, direttamente o indirettamente:

a)	detengono la maggioranza del capitale sottoscritto dall'impresa;

b)	controllano la maggioranza dei voti cui danno diritto le azioni emesse dall'impresa;

c)	possono designare più della metà dei membri dell'organo di amministrazione, di direzione o di vigilanza dell'impresa;

20)

«ambiente di trattamento sicuro»: l'ambiente fisico o virtuale e i mezzi organizzativi per garantire la conformità al diritto dell'Unione, quale il regolamento (UE) 2016/679, in particolare per quanto riguarda i diritti degli interessati, i diritti di proprietà intellettuale e la riservatezza commerciale e statistica, l'integrità e l'accessibilità, per garantire il rispetto del diritto dell'Unione e nazionale applicabile, e per consentire all'entità che fornisce l'ambiente di trattamento sicuro di determinare e controllare tutte le azioni di trattamento dei dati, compresi la visualizzazione, la conservazione, lo scaricamento, l'esportazione dei dati e il calcolo dei dati derivati mediante algoritmi computazionali;

21)

« rappresentante_legale»: una persona fisica o giuridica stabilita nell'Unione esplicitamente designata ad agire per conto di un fornitore di servizi di intermediazione dei dati non stabilito nell'Unione o di un'entità non stabilita nell'Unione che raccoglie dati per obiettivi di interesse generale messi a disposizione da persone fisiche o giuridiche sulla base dell'altruismo dei dati, che può essere interpellata dalle autorità nazionali competenti per i servizi di intermediazione dei dati e dalle autorità competenti per la registrazione delle organizzazioni per l'altruismo dei dati in aggiunta o in sostituzione del fornitore di servizi di intermediazione dei dati o dell'entità in relazione agli obblighi a norma del presente regolamento, anche per quanto riguarda l'avvio di un procedimento esecutivo contro un prestatore di servizi di intermediazione dei dati o un'entità inadempiente non stabilito nell'Unione.

CAPo II

Riutilizzo di determinate categorie di dati protetti detenuti da enti pubblici

Articolo 3

Categorie di dati

1. Il presente capo si applica ai dati detenuti da enti pubblici, che sono protetti per motivi di:

a)	riservatezza commerciale, compresi i segreti commerciali, professionali o d'impresa;

b)	riservatezza statistica;

c)	protezione dei diritti di proprietà intellettuale di terzi; o

d)	protezione dei dati personali, nella misura in cui tali dati non rientrano nell'ambito di applicazione della direttiva (UE) 2019/1024.

2. Il presente capo non si applica:

a)	ai dati detenuti da imprese pubbliche;

b)	ai dati detenuti dalle emittenti di servizio pubblico e dalle società da esse controllate e da altri organismi o relative società controllate per l'adempimento di un compito di radiodiffusione di servizio pubblico;

c)	ai dati detenuti da enti culturali e di istruzione;

d)	ai dati detenuti da enti pubblici e protetti per motivi di pubblica sicurezza, difesa o sicurezza nazionale; o

ai dati la cui fornitura è un'attività che esula dall'ambito dei compiti di servizio pubblico degli enti pubblici in questione, quali definiti dal diritto o da altre norme vincolanti nello Stato membro interessato o, in mancanza di tali norme, quali definiti in conformità delle comuni prassi amministrative in tale Stato membro, a condizione che l'ambito di detti compiti sia trasparente e soggetto a revisione.

3. Il presente capo lascia impregiudicati:

a)	il diritto dell'Unione e nazionale e gli accordi internazionali di cui l'Unione o gli Stati membri sono parte in relazione alla protezione delle categorie di dati di cui al paragrafo 1; e

b)	il diritto dell'Unione e nazionale in materia di accesso ai documenti.

Articolo 4

Divieto di accordi di esclusiva

1. Sono vietati gli accordi o altre pratiche relativi al riutilizzo di dati detenuti da enti pubblici e comprendenti le categorie di dati di cui all'articolo 3, paragrafo 1, che concedono diritti esclusivi o che hanno per oggetto o per effetto di concedere tali diritti esclusivi o di limitare la disponibilità di dati per il riutilizzo da parte di entità diverse dalle parti di tali accordi o altre pratiche.

2. In deroga al paragrafo 1, può essere concesso un diritto esclusivo di riutilizzo dei dati di cui a tale paragrafo nella misura necessaria alla fornitura di un servizio o di un prodotto di interesse generale che non sarebbe altrimenti possibile.

3. Un diritto esclusivo di cui al paragrafo 2 è accordato mediante atto amministrativo o accordo contrattuale a norma del diritto dell'Unione o nazionale applicabile e nel rispetto dei principi di trasparenza, parità di trattamento e non discriminazione.

4. La durata del diritto esclusivo di riutilizzo dei dati non supera i 12 mesi. Ove si concluda un contratto, la durata del contratto è la stessa della durata del diritto esclusivo.

5. La concessione di un diritto esclusivo a norma dei paragrafi 2, 3 e 4, compresi i motivi per cui è necessario concedere tale diritto, è trasparente ed è resa pubblica online, in una forma conforme al pertinente diritto dell'Unione in materia di appalti pubblici.

6. Agli accordi o alle altre pratiche che rientrano nell'ambito di applicazione del divieto di cui al paragrafo 1, che non soddisfano le condizioni di cui ai paragrafi 2 e 3 e che sono stati conclusi prima del 23 giugno 2022 è posto termine alla scadenza del contratto applicabile e comunque entro il 24 dicembre 2024.

Articolo 6

Tariffe

1. Gli enti pubblici che consentono il riutilizzo delle categorie di dati di cui all'articolo 3, paragrafo 1, possono imporre tariffe per consentire il riutilizzo di tali dati.

2. Le tariffe imposte a norma del paragrafo 1 sono trasparenti, non discriminatorie, proporzionate e oggettivamente giustificate e non limitano la concorrenza.

3. Gli enti pubblici provvedono affinché le tariffe possano anche essere pagate online mediante servizi di pagamento transfrontalieri ampiamente diffusi, senza discriminazioni basate sul luogo di stabilimento del fornitore del servizio di pagamento, sul luogo di emissione dello strumento di pagamento o sull'ubicazione del conto di pagamento all'interno dell'Unione.

4. Qualora gli enti pubblici applichino tariffe, essi adottano misure per incentivare il riutilizzo delle categorie di dati di cui all'articolo 3, paragrafo 1, a fini non commerciali, quali la ricerca scientifica, e da parte delle PMI e delle start-up in conformità delle norme sugli aiuti di Stato. A tale riguardo, gli enti pubblici possono anche mettere a disposizione i dati a una tariffa ridotta o nulla, in particolare per le PMI e le start-up, la società civile e gli istituti di istruzione. A tal fine, gli enti pubblici possono stilare un elenco di categorie di riutilizzatori a cui i dati per il riutilizzo sono forniti a una tariffa ridotta o a titolo gratuito. Detto elenco è reso pubblico unitamente ai criteri adottati per la sua redazione.

5. L'ammontare di eventuali tariffe deriva dai costi relativi allo svolgimento del procedimento delle richieste di riutilizzo delle categorie di dati di cui all'articolo 3, paragrafo 1, e si limita ai costi necessari per:

a)	la riproduzione, la fornitura e la diffusione dei dati;

b)	l'acquisizione dei diritti;

c)	l'anonimizzazione o altre forme di preparazione dei dati personali e commerciali riservati di cui all'articolo 5, paragrafo 3;

d)	il mantenimento dell'ambiente di trattamento sicuro;

e)	l'acquisizione del diritto di consentire il riutilizzo a norma del presente capo da parte di terzi esterni al settore pubblico, nonché;

f)	l'assistenza ai riutilizzatori nel richiedere il consenso degli interessati e l' autorizzazione dei titolari dei dati i cui diritti e interessi possono essere interessati da tale riutilizzo.

6. I criteri e la metodologia di calcolo delle tariffe sono stabiliti dagli Stati membri e pubblicati. L' ente_pubblico pubblica una descrizione delle principali categorie di costi e delle regole utilizzate per la ripartizione dei costi.

Articolo 7

Organismi competenti

1. Ai fini della realizzazione dei compiti di cui al presente articolo, ciascuno Stato membro designa uno o più organismi competenti, che possono essere competenti per specifici settori, per assistere gli enti pubblici che concedono o rifiutano l' accesso al riutilizzo delle categorie di dati di cui all'articolo 3, paragrafo 1. Gli Stati membri possono istituire uno o più organismi competenti nuovi o avvalersi di enti pubblici esistenti o di servizi interni di enti pubblici che soddisfano le condizioni stabilite dal presente regolamento.

2. Gli organismi competenti possono inoltre essere abilitati a concedere l' accesso per il riutilizzo delle categorie di dati di cui all'articolo 3, paragrafo 1, a norma del diritto dell'Unione o nazionale che prevede la concessione di tale accesso. Qualora concedano o neghino l' accesso per il riutilizzo, a tali organismi competenti si applicano gli articoli 4, 5, 6 e 9.

3. Gli organismi competenti dispongono di risorse giuridiche, finanziarie, tecniche e umane adeguate per svolgere i compiti loro affi dati, comprese le conoscenze tecniche necessarie per poter rispettare il pertinente diritto dell'Unione o nazionale in materia di regimi di accesso per le categorie di dati di cui all'articolo 3, paragrafo 1.

4. L'assistenza di cui al paragrafo 1 comprende, ove necessario:

a)	fornire assistenza tecnica mettendo a disposizione un ambiente di trattamento sicuro per la fornitura dell' accesso ai fini del riutilizzo dei dati;

b)	fornire orientamenti e assistenza tecnica su come strutturare e conservare al meglio i dati per renderli facilmente accessibili;

fornire assistenza tecnica per la pseudonimizzazione e garantire il trattamento dei dati in modo da tutelare efficacemente la vita privata, la riservatezza, l'integrità e l'accessibilità delle informazioni contenute nei dati per i quali è consentito il riutilizzo, comprese le tecniche di anonimizzazione, generalizzazione, soppressione e randomizzazione dei dati personali o altri metodi all'avanguardia di tutela della vita privata, e la cancellazione di informazioni commerciali riservate, tra cui segreti commerciali o contenuti protetti da diritti di proprietà intellettuale;

se del caso, fornire assistenza agli enti pubblici affinché aiutino i riutilizzatori a richiedere agli interessati il consenso al riutilizzo o ai titolari dei dati l' autorizzazione al riutilizzo, in linea con le loro decisioni specifiche, anche in merito alla giurisdizione in cui si intende effettuare il trattamento dei dati, e fornire assistenza agli enti pubblici nell'istituire meccanismi tecnici che permettano di trasmettere le richieste di consenso o di autorizzazione formulate dai riutilizzatori, ove ciò sia fattibile nella pratica;

e)	fornire assistenza agli enti pubblici in merito alla valutazione dell'adeguatezza degli impegni contrattuali assunti da un riutilizzatore, a norma dell'articolo 5, paragrafo 10.

5. Ciascuno Stato membro notifica alla Commissione l'identità degli organismi competenti designati a norma del paragrafo 1 entro il 24 settembre 2023. Ciascuno Stato membro notifica altresì alla Commissione ogni successiva modifica dell'identità di tali organismi competenti.

Articolo 10

Servizi di intermediazione dei dati

La fornitura dei seguenti servizi di intermediazione dei dati è conforme all'articolo 12 ed è soggetta a una procedura di notifica:

servizi di intermediazione tra i titolari dei dati e i potenziali utenti dei dati, compresa la messa a disposizione di mezzi tecnici o di altro tipo per consentire tali servizi; tali servizi possono includere scambi di dati bilaterali o multilaterali o la creazione di piattaforme o banche dati che consentono lo scambio o l'utilizzo congiunto dei dati, nonché l'istituzione di altra infrastruttura specifica per l'interconnessione di titolari dei dati con gli utenti dei dati;

servizi di intermediazione tra interessati che intendono mettere a disposizione i propri dati personali o persone fisiche che intendono mettere a disposizione dati non personali e potenziali utenti dei dati, compresa la messa a disposizione di mezzi tecnici o di altro tipo per consentire tali servizi, permettendo in particolare l'esercizio dei diritti degli interessati di cui al regolamento (UE) 2016/679;

c)	servizi di cooperative di dati.

Articolo 12

Condizioni per la fornitura di servizi di intermediazione dei dati

La fornitura di servizi di intermediazione dei dati di cui all'articolo 10 è soggetta alle condizioni seguenti:

a)	il fornitore di servizi di intermediazione dei dati non utilizza i dati per i quali fornisce servizi di intermediazione dei dati per scopi diversi dalla messa a disposizione di tali dati agli utenti dei dati e fornisce servizi di intermediazione dei dati attraverso una persona giuridica distinta;

le condizioni commerciali, compresa la fissazione del prezzo, per la fornitura di servizi di intermediazione dei dati a un titolare dei dati o a un utente dei dati non sono subordinate al fatto che il titolare dei dati o l'utente dei dati utilizzi altri servizi forniti dallo stesso fornitore di servizi di intermediazione dei dati o da un'entità collegata, e, in caso affermativo, in che misura il titolare dei dati o gli utenti dei dati utilizzano tali altri servizi;

i dati raccolti su qualsiasi attività di una persona fisica o giuridica ai fini della fornitura del servizio di intermediazione dei dati, compresi la data, l'ora e i dati di geolocalizzazione, la durata dell'attività e i collegamenti con altre persone fisiche o giuridiche stabiliti dalla persona che utilizza il servizio di intermediazione dei dati, sono utilizzati solo per lo sviluppo di tale servizio di intermediazione dei dati, il che può comportare l'uso di dati per l'individuazione di frodi o a fini di cibersicurezza, e sono messi a disposizione dei titolari dei dati su richiesta;

il fornitore di servizi di intermediazione dei dati agevola lo scambio dei dati nel formato in cui li riceve da un interessato o da un titolare dei dati, li converte in formati specifici solo allo scopo di migliorare l'interoperabilità a livello intrasettoriale e intersettoriale, se richiesto dall'utente dei dati, se prescritto dal diritto dell'Unione o per garantire l'armonizzazione con le norme internazionali o europee in materia di dati e offre agli interessati o ai titolari dei dati la possibilità di non partecipare a tali conversioni, a meno che la conversione non sia prescritta dal diritto dell'Unione;

i servizi di intermediazione dei dati possono comprendere l'offerta di strumenti e servizi supplementari specifici ai titolari dei dati o agli interessati allo scopo specifico di facilitare lo scambio dei dati, come la conservazione temporanea, la cura, la conversione, l'anonimizzazione e la pseudonimizzazione, fermo restando che tali strumenti e servizi sono utilizzati solo su richiesta o approvazione esplicita del titolare dei dati o dell' interessato e gli strumenti di terzi offerti in tale contesto non utilizzano i dati per altri scopi;

f)	il fornitore di servizi di intermediazione dei dati provvede affinché la procedura di accesso al suo servizio sia equa, trasparente e non discriminatoria sia per gli interessati e i titolari dei dati sia per gli utenti dei dati, anche per quanto riguarda i prezzi e le condizioni di servizio;

g)	il fornitore di servizi di intermediazione dei dati dispone di procedure per prevenire pratiche fraudolente o abusive in relazione a soggetti che richiedono l' accesso tramite i suoi servizi di intermediazione dei dati;

in caso di insolvenza, il fornitore di servizi di intermediazione dei dati garantisce una ragionevole continuità della fornitura dei suoi servizi di intermediazione dei dati e, nel caso tali servizi di intermediazione dei dati garantiscono la conservazione dei dati, dispone di meccanismi che consentano ai titolari dei dati e agli utenti dei dati di ottenere l' accesso ai loro dati o il trasferimento o il recupero degli stessi, e che consentano agli interessati, nel caso in cui tale fornitura di servizi di intermediazione dei dati sia fornita tra interessati e utenti dei dati, di esercitare i propri diritti;

i)	il fornitore di servizi di intermediazione dei dati adotta misure adeguate per garantire l'interoperabilità con altri servizi di intermediazione dei dati, tra l'altro mediante norme aperte di uso comune nel settore in cui opera il fornitore di servizi di intermediazione dei dati;

il fornitore di servizi di intermediazione dei dati mette in atto adeguate misure tecniche, giuridiche e organizzative al fine di impedire il trasferimento di dati non personali o l' accesso a questi ultimi nel caso in cui ciò sia illegale a norma del diritto dell'Unione o del diritto nazionale dello Stato membro interessato;

k)	il fornitore di servizi di intermediazione dei dati informa senza ritardo i titolari dei dati in caso di trasferimento, accesso o utilizzo non autorizzati dei dati non personali che ha condiviso;

il fornitore di servizi di intermediazione dei dati adotta le misure necessarie per garantire un adeguato livello di sicurezza per la conservazione, il trattamento e la trasmissione di dati non personali, e il fornitore di servizi di intermediazione dei dati assicura inoltre il massimo livello di sicurezza per la conservazione e la trasmissione di informazioni sensibili sotto il profilo della concorrenza;

il fornitore di servizi di intermediazione dei dati che offre servizi agli interessati agisce nell'interesse superiore di questi ultimi nel facilitare l'esercizio dei loro diritti, in particolare informandoli e, se opportuno, fornendo loro consulenza in maniera concisa, trasparente, intelligibile e facilmente accessibile sugli utilizzi previsti dei dati da parte degli utenti dei dati e sui termini e le condizioni standard cui sono subordinati tali utilizzi, prima che gli interessati diano il loro consenso;

qualora un fornitore di servizi di intermediazione dei dati fornisca strumenti per ottenere il consenso degli interessati o le autorizzazioni a trattare i dati messi a disposizione dai titolari dei dati, esso specifica, se del caso, la giurisdizione del paese terzo in cui si intende effettuare l'utilizzo dei dati e fornisce agli interessati gli strumenti per dare e revocare il consenso e ai titolari dei dati gli strumenti per dare e revocare le autorizzazioni a trattare i dati;

o)	il fornitore di servizi di intermediazione dei dati tiene un registro dell'attività di intermediazione dei dati.

Articolo 14

Monitoraggio della conformità

1. Le autorità competenti per i servizi di intermediazione dei dati monitorano e controllano la conformità dei fornitori dei servizi di intermediazione dei dati ai requisiti di cui al presente capo. Le autorità competenti per i servizi di intermediazione dei dati possono inoltre monitorare e controllare la conformità dei fornitori dei servizi di intermediazione dei dati sulla base di una richiesta da parte di persone fisiche o giuridiche.

2. Le autorità competenti per i servizi di intermediazione dei dati hanno il potere di chiedere ai fornitori di servizi di intermediazione dei dati o ai loro rappresentanti legali tutte le informazioni necessarie per verificare la conformità ai requisiti di cui al presente capo. Le richieste di informazioni sono motivate e proporzionate rispetto all'assolvimento del compito.

3. Qualora constati che un fornitore di servizi di intermediazione dei dati non rispetta uno o più requisiti di cui al presente capo, l'autorità competente per i servizi di intermediazione dei dati notifica tale circostanza al fornitore di servizi di intermediazione dei dati e gli offre l'opportunità di esprimere osservazioni entro 30 giorni dal ricevimento della notifica.

4. L'autorità competente per i servizi di intermediazione dei dati ha il potere di imporre la cessazione della violazione di cui al paragrafo 3 entro un termine ragionevole oppure immediatamente in caso di violazione grave e adotta misure adeguate e proporzionate volte ad assicurare l'osservanza. A tal proposito l'autorità competente per i servizi di intermediazione dei dati ha il potere, ove opportuno, di:

a)	imporre, mediante procedure amministrative, sanzioni pecuniarie dissuasive, che possono includere sanzioni periodiche e sanzioni con effetto retroattivo, oppure avviare procedimenti giudiziari per l'imposizione di ammende, o entrambe le misure;

b)	chiedere un rinvio dell'inizio o della fornitura del servizio di intermediazione dei dati, o una sospensione della stessa, fino a quando non siano state apportate le modifiche alle condizioni richieste dall'autorità competente per i servizi di intermediazione dei dati; o

c)	chiedere la cessazione della fornitura del servizio di intermediazione dei dati nel caso in cui le violazioni gravi o ripetute non siano state rettificate nonostante la notifica preventiva di cui al paragrafo 3.

Una volta ordinata la cessazione della fornitura del servizio di intermediazione dei dati, l'autorità competente per i servizi di intermediazione dei dati chiede alla Commissione di eliminare il fornitore del servizio di intermediazione dei dati dal registro dei fornitori di servizi di intermediazione dei dati in conformità del primo comma, lettera c).

Se un fornitore di servizi di intermediazione dei dati rettifica le violazioni, tale fornitore di servizi di intermediazione dei dati invia una nuova notifica all'autorità competente per i servizi di intermediazione dei dati. L'autorità competente per i servizi di intermediazione dei dati notifica alla Commissione ognuna di tali nuove notifiche.

5. Qualora un fornitore di servizi di intermediazione dei dati non stabilito nell'Unione non designi un rappresentante_legale o qualora quest'ultimo non fornisca, su richiesta dell'autorità competente per i servizi di intermediazione dei dati, le informazioni necessarie che dimostrino in modo esauriente il rispetto del presente regolamento, l'autorità competente per i servizi di intermediazione dei dati ha il potere di rinviare l'inizio della fornitura del servizio di intermediazione dei dati, o sospenderla, fino alla designazione del rappresentante_legale o alla presentazione delle informazioni necessarie.

6. Le autorità competenti per i servizi di intermediazione dei dati notificano senza ritardo al fornitore di servizi di intermediazione dei dati interessato le misure imposte a norma dei paragrafi 4 e 5 e i motivi su cui si basano, nonché le misure che occorre adottare per rettificare le lacune pertinenti, e stabiliscono un periodo ragionevole, non superiore a 30 giorni, entro il quale il fornitore di servizi di intermediazione dei dati deve conformarsi a tali misure.

7. Se lo stabilimento_principale o il rappresentante_legale di un fornitore di servizi di intermediazione dei dati si trova in uno Stato membro, ma tale fornitore presta servizi in altri Stati membri, l'autorità competente per i servizi di intermediazione dei dati dello Stato membro dello stabilimento_principale o in cui si trova il rappresentante_legale e le autorità competenti per i servizi di intermediazione dei dati di tali altri Stati membri collaborano e si prestano assistenza reciprocamente. Tali assistenza e collaborazione possono comprendere scambi di informazioni tra le autorità competenti per i servizi di intermediazione dei dati interessate ai fini dell'assolvimento dei loro compiti a norma del presente regolamento e richieste motivate di adottare le misure di cui al presente articolo.

Se un'autorità competente per i servizi di intermediazione dei dati di uno Stato membro chiede assistenza a un'autorità competente per i servizi di intermediazione dei dati di un altro Stato membro, essa presenta una richiesta motivata. L'autorità competente per i servizi di intermediazione dei dati che riceve tale richiesta fornisce una risposta senza ritardo ed entro un termine proporzionato all'urgenza della richiesta.

Tutte le informazioni scambiate nel quadro dell'assistenza richiesta e prestata a norma del presente paragrafo sono utilizzate solo in relazione alla questione per cui sono state richieste.

Articolo 21

Obblighi specifici di tutela dei diritti e degli interessi degli interessati e dei titolari dei dati per quanto riguarda i loro dati

1. Un'organizzazione per l'altruismo dei dati riconosciuta informa in maniera chiara e facilmente comprensibile gli interessati o i titolari dei dati, prima di qualsiasi trattamento dei loro dati, in merito:

a)	agli obiettivi di interesse generale e, se opportuno, alla finalità determinata, esplicita e legittima per cui i dati devono essere trattati, e per i quali acconsentono al trattamento dei loro dati da parte di un utente dei dati;

b)	all'ubicazione e agli obiettivi di interesse generale per cui acconsentono a eventuali trattamenti effettuati in un paese terzo, nel caso in cui il trattamento sia effettuato dall‘organizzazione per l'altruismo dei dati riconosciuta.

2. L'organizzazione per l'altruismo dei dati riconosciuta non utilizza i dati per altri obiettivi diversi da quelli di interesse generale per i quali gli interessati o i titolari dei dati acconsentono al trattamento. L'organizzazione per l'altruismo dei dati riconosciuta non ricorre a pratiche commerciali ingannevoli per sollecitare la fornitura di dati.

3. L'organizzazione per l'altruismo dei dati riconosciuta fornisce strumenti per ottenere il consenso degli interessati o le autorizzazioni al trattamento dei dati messi a disposizione dai titolari dei dati. L'organizzazione per l'altruismo dei dati riconosciuta fornisce altresì strumenti per l'agevole revoca di tale consenso o autorizzazione.

4. L'organizzazione per l'altruismo dei dati riconosciuta adotta misure intese a garantire un livello adeguato di sicurezza per la conservazione e il trattamento di dati non personali che ha raccolto sulla base dell'altruismo dei dati.

5. L'organizzazione per l'altruismo dei dati riconosciuta informa senza ritardo i titolari dei dati in caso di trasferimento, accesso o utilizzo non autorizzati dei dati non personali che ha condiviso.

6. Qualora l'organizzazione per l'altruismo dei dati riconosciuta agevoli il trattamento dei dati da parte di terzi, anche fornendo strumenti per ottenere il consenso degli interessati o le autorizzazioni a trattare i dati messi a disposizione dai titolari dei dati, essa specifica, se del caso, la giurisdizione del paese terzo in cui i dati sono destinati a essere utilizzati.

Articolo 34

Sanzioni

1. Gli Stati membri stabiliscono le norme relative alle sanzioni da applicare in caso di violazione degli obblighi in materia di trasferimento di dati non personali a paesi terzi a norma dell'articolo 5, paragrafo 14, e dell'articolo 31, dell'obbligo di notifica per i fornitori di servizi di intermediazione dei dati a norma dell'articolo 11, delle condizioni per la fornitura di servizi di intermediazione dei dati a norma dell'articolo 12, e delle condizioni per la registrazione come organizzazione per l'altruismo dei dati riconosciuta a norma degli articoli 18, 20, 21 e 22 e adottano tutte le misure necessarie per assicurarne l'applicazione. Le sanzioni previste devono essere effettive, proporzionate e dissuasive. Nelle loro norme in materia di sanzioni, gli Stati membri tengono conto delle raccomandazioni del comitato europeo per l'innovazione in materia di dati. Entro il 24 settembre 2023, gli Stati membri notificano tali norme e misure alla Commissione e notificano ad essa senza ritardo eventuali successive modifiche ad esse pertinenti.

2. Gli Stati membri tengono conto dei seguenti criteri non esaustivi e indicativi per l'imposizione di sanzioni ai fornitori di servizi di intermediazione dei dati e alle organizzazioni per l'altruismo dei dati riconosciute in caso di violazione del presente regolamento, se opportuno:

a)	la natura, la gravità, l'entità e la durata della violazione;

b)	qualsiasi azione intrapresa dal fornitore di servizi di intermediazione dei dati o da un'organizzazione per l'altruismo dei dati riconosciuta al fine di attenuare il danno derivante dalla violazione o porvi rimedio;

c)	qualsiasi precedente violazione da parte del fornitore di servizi di intermediazione dei dati o dell'organizzazione per l'altruismo dei dati riconosciuta;

d)	i vantaggi finanziari ottenuti o le perdite evitate dal fornitore di servizi di intermediazione dei dati o da un'organizzazione per l'altruismo dei dati riconosciuta in ragione della violazione, nella misura in cui tali profitti o perdite possano essere determinati in modo attendibile;

e)	eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso.

whereas

keyboard_tab Digital Governance Act 2022/0868 IT

Digital Governance Act 2022/0868 IT