keyboard_tab Digital Governance Act 2022/0868 IT
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Art. 5 Condizioni per il riutilizzo
- 1 Art. 11 Notifica da parte dei fornitori di servizi di intermediazione dei dati
- 1 Art. 12 Condizioni per la fornitura di servizi di intermediazione dei dati
- 1 Art. 14 Monitoraggio della conformità
- 1 Art. 19 Registrazione delle organizzazioni per l'altruismo dei dati riconosciute
- 1 Art. 23 Autorità competenti per la registrazione di organizzazioni per l'altruismo dei dati
- 2 Art. 31 Accesso internazionale e trasferimento
CAPO I
Disposizioni generali
CAPo II
Riutilizzo di determinate categorie di dati protetti detenuti da enti pubblici
CAPO III
Requisiti applicabili ai servizi di intermediazione dei dati
CAPO IV
Altruismo dei dati
CAPO V
Autorità competenti e disposizioni procedurali
CAPO VI
Comitato europeo per l'innovazione in materia di dati
CAPO VII
Accesso internazionale e trasferimento
CAPO VIII
Delega e procedura di comitato
CAPO ix
Disposizioni finali E TRANSITORIE
- dati
- riutilizzo
- dati personali
- dati non personali
- consenso
- autorizzazione
- interessato
- titolare dei dati
- utente dei dati
- condivisione dei dati
- servizio di intermediazione dei dati
- trattamento
- accesso
- stabilimento principale
- servizi di cooperative di dati
- altruismo dei dati
- ente pubblico
- organismi di diritto pubblico
- impresa pubblica
- ambiente di trattamento sicuro
- rappresentante legale
- dati 374
- servizi 138
- intermediazione 137
- autorità 96
- altruismo 78
- fornitore 57
- competenti 50
- organizzazioni 50
- riutilizzo 50
- unione 48
- registrazione 47
- competente 46
- presente 46
- articolo 45
- diritto 42
- notifica 34
- membro 33
- nazionale 30
- personali 30
- informazioni 29
- norma 28
- paragrafo 27
- richiesta 26
- enti 26
- pubblici 26
- accesso 25
- regolamento 25
- interessati 25
- entità 25
- caso 22
- riconosciuta 22
- assistenza 22
- possono 21
- paese 20
- trattamento 20
- ente_pubblico 19
- titolari 19
- pubblico 19
- condizioni 18
- misure 18
- terzo 18
- l 18
- registro 18
- rappresentante_legale 18
- categorie 18
- conformità 18
- organizzazione 17
- capo 16
- consenso 16
- diritti 16
Articolo 1
Oggetto e ambito di applicazione
1. Il presente regolamento stabilisce:
| a) | le condizioni per il riutilizzo, all'interno dell'Unione, di determinate categorie di dati detenuti da enti pubblici; |
| b) | un quadro di notifica e controllo per la fornitura di servizi di intermediazione dei dati; |
| c) | un quadro per la registrazione volontaria delle entità che raccolgono e trattano i dati messi a disposizione a fini altruistici; e |
| d) | un quadro per l'istituzione di un comitato europeo per l'innovazione in materia di dati. |
2. Il presente regolamento non crea, per gli enti pubblici, alcun obbligo di consentire il riutilizzo dei dati, né esenta gli enti pubblici dai loro obblighi di riservatezza ai sensi del diritto dell'Unione o nazionale.
Il presente regolamento non pregiudica:
| a) | le disposizioni specifiche contenute nel diritto dell'Unione o nazionale in materia di accesso a determinate categorie di dati o di riutilizzo degli stessi, in particolare riguardo la concessione dell' accesso a documenti ufficiali e la loro divulgazione; e |
| b) | gli obblighi degli enti pubblici a norma del diritto dell'Unione o nazionale di consentire il riutilizzo dei dati o i requisiti relativi al trattamento dei dati non personali. |
qualora una normativa settoriale dell'Unione o nazionale imponga agli enti pubblici, ai fornitori di servizi di intermediazione dei dati o alle organizzazioni per l'altruismo dei dati riconosciute di rispettare specifici requisiti tecnici, amministrativi o organizzativi aggiuntivi, anche attraverso un regime di autorizzazione o certificazione, si applicano anche le pertinenti disposizioni di tale normativa settoriale dell'Unione o nazionale. Eventuali requisiti specifici aggiuntivi sono non discriminatori, proporzionati e oggettivamente giustificati.
3. Il diritto dell'Unione e nazionale in materia di protezione dei dati personali si applica a qualsiasi dato personale trattato in relazione al presente regolamento. In particolare, il presente regolamento non pregiudica i regolamenti (UE) 2016/679 e (UE) 2018/1725 e le direttive 2002/58/CE e (UE) 2016/680, anche per quando riguarda i poteri e le competenze delle autorità di controllo. In caso di conflitto tra il presente regolamento e il diritto dell'Unione in materia di protezione dei dati personali o il diritto nazionale adottato conformemente a tale diritto dell'Unione, prevale il pertinente diritto dell'Unione o nazionale in materia di protezione dei dati personali. Il presente regolamento non crea una base giuridica per il trattamento dei dati personali e non influisce sui diritti e sugli obblighi di cui ai regolamenti (UE) 2016/679 e (UE) 2018/1725 o alle direttive 2002/58/CE o (UE) 2016/680.
4. Il presente regolamento lascia impregiudicata l'applicazione del diritto della concorrenza.
5. Il presente regolamento lascia impregiudicate le competenze degli Stati membri per quanto riguarda le loro attività in materia di sicurezza pubblica, difesa e sicurezza nazionale.
Articolo 5
Condizioni per il riutilizzo
1. Gli enti pubblici che, a norma del diritto nazionale, hanno facoltà di concedere o negare l' accesso per il riutilizzo di una o più delle categorie di dati di cui all'articolo 3, paragrafo 1, rendono pubbliche le condizioni per consentire tale riutilizzo nonché la procedura di richiesta del riutilizzo attraverso lo sportello unico di cui all'articolo 8. qualora concedano o neghino l' accesso per il riutilizzo, possono essere assistiti dagli organismi competenti di cui all'articolo 7, paragrafo 1.
Gli Stati membri garantiscono che gli enti pubblici siano dotati delle necessarie risorse per conformarsi al presente articolo.
2. Le condizioni per il riutilizzo sono non discriminatorie, trasparenti, proporzionate e oggettivamente giustificate in relazione alle categorie di dati e alle finalità del riutilizzo e alla natura dei dati per i quali è consentito il riutilizzo. Tali condizioni non sono utilizzate per limitare la concorrenza.
3. Gli enti pubblici garantiscono, conformemente al diritto dell'Unione e nazionale, la tutela della natura protetta dei dati. Essi garantiscono il rispetto dei requisiti seguenti:
| a) | concedere l' accesso per il riutilizzo dei dati soltanto qualora l' ente_pubblico o l'organismo competente abbia garantito, in seguito alla richiesta di riutilizzo, che i dati sono stati:
|
| b) | accedere ai dati e riutilizzare gli stessi da remoto all'interno di un ambiente di trattamento sicuro, fornito o controllato dall' ente_pubblico; |
| c) | accedere ai dati e riutilizzare gli stessi all'interno dei locali fisici in cui si trova l'ambiente di trattamento sicuro, rispettando rigorose norme di sicurezza, a condizione che l' accesso remoto non possa essere consentito senza compromettere i diritti e gli interessi di terzi. |
4. In caso di riutilizzo consentito conformemente al paragrafo 3, lettere b) e c), gli enti pubblici impongono condizioni che preservino l'integrità del funzionamento dei sistemi tecnici dell'ambiente di trattamento sicuro utilizzato. L' ente_pubblico si riserva il diritto di verificare il processo, i mezzi e i risultati del trattamento dei dati effettuato dal riutilizzatore per tutelare l'integrità della protezione dei dati come anche il diritto di vietare l'uso dei risultati che contengono informazioni che compromettono i diritti e gli interessi di terzi. La decisione di vietare il riutilizzo dei risultati è comprensibile e trasparente per il riutilizzatore.
5. A meno che il diritto nazionale preveda tutele specifiche sugli obblighi di riservatezza applicabili relativi al riutilizzo dei dati di cui all'articolo 3, paragrafo 1, l' ente_pubblico subordina il riutilizzo dei dati forniti a norma del paragrafo 3 del presente articolo al rispetto, da parte del riutilizzatore, di un obbligo di riservatezza che vieti la divulgazione di qualsiasi informazione che comprometta i diritti e gli interessi di terzi e che il riutilizzatore possa aver acquisito malgrado le misure di tutela adottate. I riutilizzatori hanno il divieto di reidentificare gli interessati cui si riferiscono i dati e adottano misure tecniche e operative per impedire la reidentificazione e notificare all' ente_pubblico qualsiasi violazione dei dati che comporti la reidentificazione degli interessati. In caso di riutilizzo non autorizzato di dati non personali il riutilizzatore informa senza ritardo, se opportuno con l'assistenza dell' ente_pubblico, le persone giuridiche i cui diritti e interessi possono essere.
6. qualora il riutilizzo dei dati non possa essere consentito in conformità degli obblighi di cui ai paragrafi 3 e 4 del presente articolo e non vi sia alcuna base giuridica per la trasmissione dei dati a norma del regolamento (UE) 2016/679, l' ente_pubblico si adopera al meglio, conformemente al diritto dell'Unione e nazionale, per fornire assistenza ai potenziali riutilizzatori nel richiedere il consenso degli interessati o l' autorizzazione dei titolari dei dati i cui diritti e interessi possono essere interessati da tale riutilizzo, ove ciò sia fattibile senza un onere sproporzionato per l' ente_pubblico. qualora fornisca tale assistenza, l' ente_pubblico può essere assistito dagli organismi competenti di cui all'articolo 7, paragrafo 1.
7. Il riutilizzo dei dati è consentito solo nel rispetto dei diritti di proprietà intellettuale. Il diritto del costitutore di una banca di dati di cui all'articolo 7, paragrafo 1, della direttiva 96/9/CE non è esercitato dagli enti pubblici al fine di impedire il riutilizzo dei dati o di limitarlo oltre i limiti stabiliti dal presente regolamento.
8. Quando i dati richiesti sono considerati riservati, conformemente al diritto dell'Unione o nazionale in materia di riservatezza commerciale o statistica, gli enti pubblici provvedono affinché i dati riservati non siano divulgati in conseguenza all' autorizzazione di tale riutilizzo, a meno che tale riutilizzo non sia consentito a norma del paragrafo 6.
9. qualora intenda trasferire a un paese terzo dati non personali protetti per i motivi di cui all'articolo 3, paragrafo 1, il riutilizzatore informa l' ente_pubblico della sua intenzione a trasferire tali dati e della finalità di tale trasferimento al momento della richiesta di riutilizzo di tali dati. In caso di riutilizzo a norma del paragrafo 6 del presente articolo, il riutilizzatore informa, se opportuno con l'assistenza dell' ente_pubblico, la persona giuridica i cui diritti e interessi possono essere interessati da tale intenzione, tale finalità e tali tutele adeguate. L' ente_pubblico non consente il riutilizzo a meno che la persona giuridica non dia l' autorizzazione al trasferimento.
10. Gli enti pubblici trasmettono dati riservati non personali o dati protetti da diritti di proprietà intellettuale a un riutilizzatore che intende trasferire tali dati a un paese terzo diverso da un paese designato in conformità del paragrafo 12 solo se il riutilizzatore si impegna contrattualmente:
| a) | a rispettare gli obblighi imposti in conformità dei paragrafi 7 e 8 anche dopo il trasferimento dei dati al paese terzo; e |
| b) | ad accettare la competenza degli organi giurisdizionali dello Stato membro dell' ente_pubblico che trasmette i dati in merito a qualsiasi controversia relativa al rispetto dei paragrafi 7 e 8. |
11. Gli enti pubblici forniscono, se del caso e nei limiti delle loro capacità, orientamenti e assistenza ai riutilizzatori affinché rispettino gli obblighi di cui al paragrafo 10 del presente articolo.
Al fine di assistere gli enti pubblici e i riutilizzatori, la Commissione può adottare atti di esecuzione che stabiliscano clausole contrattuali tipo per il rispetto degli obblighi di cui al paragrafo 10 del presente articolo. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 33, paragrafo 3.
12. Se giustificato da un numero considerevole di richieste in tutta l'Unione riguardanti il riutilizzo di dati non personali in determinati paesi terzi, la Commissione può adottare atti di esecuzione in cui si dichiara che le disposizioni legislative, di vigilanza e in materia di applicazione di un paese terzo:
| a) | garantiscono una protezione della proprietà intellettuale e dei segreti commerciali sostanzialmente equivalente a quella garantita dal diritto dell'Unione; |
| b) | sono applicate e fatte rispettare in modo efficace; e |
| c) | consentono un ricorso giurisdizionale effettivo. |
Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 33, paragrafo 3.
13. Specifici atti legislativi dell'Unione possono stabilire che determinate categorie di dati non personali detenuti da enti pubblici siano considerate altamente sensibili ai fini del presente articolo, laddove il loro trasferimento a paesi terzi possa mettere a rischio gli obiettivi di politica pubblica dell'Unione, quali la sicurezza e la salute pubblica, o possa comportare il rischio di una reidentificazione dei dati non personali anonimizzati. qualora tale atto sia adottato, la Commissione adotta atti delegati conformemente all'articolo 32 al fine di integrare il presente regolamento stabilendo condizioni particolari applicabili ai trasferimenti di tali dati verso paesi terzi.
Tali condizioni particolari si basano sulla natura delle categorie di dati non personali individuate nello specifico atto legislativo dell'Unione e sui motivi per cui tali categorie sono considerate altamente sensibili, tenendo in considerazione il rischio di una reidentificazione dei dati non personali anonimizzati. Esse sono non discriminatorie e limitate a quanto necessario per conseguire gli obiettivi di politica pubblica dell'Unione individuati in tale atto, conformemente agli obblighi internazionali dell'Unione.
qualora richiesto dagli atti legislativi specifici dell'Unione di cui al primo comma, tali condizioni particolari possono includere termini applicabili al trasferimento o alle modalità tecniche ad esso relative, limitazioni per quanto riguarda il riutilizzo di dati in paesi terzi o categorie di persone autorizzate a trasferire tali dati a paesi terzi o, in casi eccezionali, restrizioni per quanto riguarda i trasferimenti a paesi terzi.
14. La persona fisica o giuridica cui è stato concesso il diritto di riutilizzo dei dati non personali può trasferire i dati solo ai paesi terzi per i quali sono soddisfatti i requisiti di cui ai paragrafi 10, 12 e 13.
Articolo 6
Tariffe
1. Gli enti pubblici che consentono il riutilizzo delle categorie di dati di cui all'articolo 3, paragrafo 1, possono imporre tariffe per consentire il riutilizzo di tali dati.
2. Le tariffe imposte a norma del paragrafo 1 sono trasparenti, non discriminatorie, proporzionate e oggettivamente giustificate e non limitano la concorrenza.
3. Gli enti pubblici provvedono affinché le tariffe possano anche essere pagate online mediante servizi di pagamento transfrontalieri ampiamente diffusi, senza discriminazioni basate sul luogo di stabilimento del fornitore del servizio di pagamento, sul luogo di emissione dello strumento di pagamento o sull'ubicazione del conto di pagamento all'interno dell'Unione.
4. qualora gli enti pubblici applichino tariffe, essi adottano misure per incentivare il riutilizzo delle categorie di dati di cui all'articolo 3, paragrafo 1, a fini non commerciali, quali la ricerca scientifica, e da parte delle PMI e delle start-up in conformità delle norme sugli aiuti di Stato. A tale riguardo, gli enti pubblici possono anche mettere a disposizione i dati a una tariffa ridotta o nulla, in particolare per le PMI e le start-up, la società civile e gli istituti di istruzione. A tal fine, gli enti pubblici possono stilare un elenco di categorie di riutilizzatori a cui i dati per il riutilizzo sono forniti a una tariffa ridotta o a titolo gratuito. Detto elenco è reso pubblico unitamente ai criteri adottati per la sua redazione.
5. L'ammontare di eventuali tariffe deriva dai costi relativi allo svolgimento del procedimento delle richieste di riutilizzo delle categorie di dati di cui all'articolo 3, paragrafo 1, e si limita ai costi necessari per:
| a) | la riproduzione, la fornitura e la diffusione dei dati; |
| b) | l'acquisizione dei diritti; |
| c) | l'anonimizzazione o altre forme di preparazione dei dati personali e commerciali riservati di cui all'articolo 5, paragrafo 3; |
| d) | il mantenimento dell'ambiente di trattamento sicuro; |
| e) | l'acquisizione del diritto di consentire il riutilizzo a norma del presente capo da parte di terzi esterni al settore pubblico, nonché; |
| f) | l'assistenza ai riutilizzatori nel richiedere il consenso degli interessati e l' autorizzazione dei titolari dei dati i cui diritti e interessi possono essere interessati da tale riutilizzo. |
6. I criteri e la metodologia di calcolo delle tariffe sono stabiliti dagli Stati membri e pubblicati. L' ente_pubblico pubblica una descrizione delle principali categorie di costi e delle regole utilizzate per la ripartizione dei costi.
Articolo 7
Organismi competenti
1. Ai fini della realizzazione dei compiti di cui al presente articolo, ciascuno Stato membro designa uno o più organismi competenti, che possono essere competenti per specifici settori, per assistere gli enti pubblici che concedono o rifiutano l' accesso al riutilizzo delle categorie di dati di cui all'articolo 3, paragrafo 1. Gli Stati membri possono istituire uno o più organismi competenti nuovi o avvalersi di enti pubblici esistenti o di servizi interni di enti pubblici che soddisfano le condizioni stabilite dal presente regolamento.
2. Gli organismi competenti possono inoltre essere abilitati a concedere l' accesso per il riutilizzo delle categorie di dati di cui all'articolo 3, paragrafo 1, a norma del diritto dell'Unione o nazionale che prevede la concessione di tale accesso. qualora concedano o neghino l' accesso per il riutilizzo, a tali organismi competenti si applicano gli articoli 4, 5, 6 e 9.
3. Gli organismi competenti dispongono di risorse giuridiche, finanziarie, tecniche e umane adeguate per svolgere i compiti loro affi dati, comprese le conoscenze tecniche necessarie per poter rispettare il pertinente diritto dell'Unione o nazionale in materia di regimi di accesso per le categorie di dati di cui all'articolo 3, paragrafo 1.
4. L'assistenza di cui al paragrafo 1 comprende, ove necessario:
| a) | fornire assistenza tecnica mettendo a disposizione un ambiente di trattamento sicuro per la fornitura dell' accesso ai fini del riutilizzo dei dati; |
| b) | fornire orientamenti e assistenza tecnica su come strutturare e conservare al meglio i dati per renderli facilmente accessibili; |
| c) | fornire assistenza tecnica per la pseudonimizzazione e garantire il trattamento dei dati in modo da tutelare efficacemente la vita privata, la riservatezza, l'integrità e l'accessibilità delle informazioni contenute nei dati per i quali è consentito il riutilizzo, comprese le tecniche di anonimizzazione, generalizzazione, soppressione e randomizzazione dei dati personali o altri metodi all'avanguardia di tutela della vita privata, e la cancellazione di informazioni commerciali riservate, tra cui segreti commerciali o contenuti protetti da diritti di proprietà intellettuale; |
| d) | se del caso, fornire assistenza agli enti pubblici affinché aiutino i riutilizzatori a richiedere agli interessati il consenso al riutilizzo o ai titolari dei dati l' autorizzazione al riutilizzo, in linea con le loro decisioni specifiche, anche in merito alla giurisdizione in cui si intende effettuare il trattamento dei dati, e fornire assistenza agli enti pubblici nell'istituire meccanismi tecnici che permettano di trasmettere le richieste di consenso o di autorizzazione formulate dai riutilizzatori, ove ciò sia fattibile nella pratica; |
| e) | fornire assistenza agli enti pubblici in merito alla valutazione dell'adeguatezza degli impegni contrattuali assunti da un riutilizzatore, a norma dell'articolo 5, paragrafo 10. |
5. Ciascuno Stato membro notifica alla Commissione l'identità degli organismi competenti designati a norma del paragrafo 1 entro il 24 settembre 2023. Ciascuno Stato membro notifica altresì alla Commissione ogni successiva modifica dell'identità di tali organismi competenti.
Articolo 11
Notifica da parte dei fornitori di servizi di intermediazione dei dati
1. I fornitori di servizi di intermediazione dei dati che intendono fornire i servizi di intermediazione dei dati di cui all'articolo 10 presentano una notifica all'autorità competente per i servizi di intermediazione dei dati.
2. Ai fini del presente regolamento, un fornitore di servizi di intermediazione dei dati con stabilimenti in più di uno Stato membro è considerato soggetto alla giurisdizione dello Stato membro in cui ha lo stabilimento_principale, fatto salvo il diritto dell'Unione che disciplina le azioni transfrontaliere di risarcimento danni e i procedimenti connessi.
3. Un fornitore di servizi di intermediazione dei dati che non è stabilito nell'Unione, ma che offre all'interno dell'Unione i servizi di intermediazione dei dati di cui all'articolo 10, designa un rappresentante_legale in uno degli Stati membri in cui offre tali servizi.
Al fine di garantire la conformità al presente regolamento, il rappresentante_legale riceve dal fornitore di servizi di intermediazione dei dati il mandato di essere interpellato oltre a tale fornitore o al suo posto dalle autorità competenti per i servizi di intermediazione dei dati o dagli interessati o dai titolari dei dati per quanto riguarda tutte le questioni relative ai servizi di intermediazione dei dati forniti. Il rappresentante_legale collabora con le autorità competenti per i servizi di intermediazione dei dati e, su richiesta, dimostra loro in modo esauriente le misure adottate e le disposizioni messe in atto dal fornitore di servizi di intermediazione dei dati per garantire la conformità al presente regolamento.
Il fornitore di servizi di intermediazione dei dati è considerato soggetto alla giurisdizione dello Stato membro in cui è situato il suo rappresentante_legale. La designazione di un rappresentante_legale a cura del fornitore di servizi di intermediazione dei dati fa salve le azioni legali che potrebbero essere promosse contro il fornitore di servizi di intermediazione dei dati.
4. Dopo aver presentato una notifica conformemente al paragrafo 1, il fornitore di servizi di intermediazione dei dati può avviare l'attività alle condizioni stabilite nel presente capo.
5. La notifica di cui al paragrafo 1 autorizza il fornitore di servizi di intermediazione dei dati a fornire servizi di intermediazione dei dati in tutti gli Stati membri.
6. La notifica di cui al paragrafo 1 contiene le informazioni seguenti:
| a) | il nome del fornitore di servizi di intermediazione dei dati; |
| b) | lo status giuridico, la forma giuridica, l'assetto proprietario, le pertinenti società controllate e, qualora il fornitore di servizi di intermediazione dei dati sia registrato nel registro delle imprese o in un altro registro pubblico nazionale analogo, il numero di registrazione del fornitore di servizi di intermediazione dei dati; |
| c) | l'indirizzo dell'eventuale stabilimento_principale del fornitore di servizi di intermediazione dei dati nell'Unione e, se opportuno, di eventuali sedi secondarie in un altro Stato membro o l'indirizzo del rappresentante_legale; |
| d) | un sito web pubblico in cui sono reperibili informazioni complete e aggiornate sul fornitore di servizi di intermediazione dei dati e sulle sue attività, comprese almeno le informazioni di cui alle lettere a), b), c) e f); |
| e) | le persone di contatto e i recapiti del fornitore di servizi di intermediazione dei dati; |
| f) | una descrizione del servizio di intermediazione dei dati che il fornitore di servizi di intermediazione dei dati intende fornire e un'indicazione delle categorie elencate all'articolo 10 in cui rientra tale servizio di intermediazione dei dati; |
| g) | la data prevista di inizio dell'attività, se diversa dalla data della notifica. |
7. L'autorità competente per i servizi di intermediazione dei dati assicura che la procedura di notifica sia non discriminatoria e non falsi la concorrenza.
8. Su richiesta del fornitore di servizi di intermediazione dei dati, l'autorità competente per i servizi di intermediazione dei dati rilascia, entro una settimana dalla notifica debitamente e interamente completata, una dichiarazione standardizzata in cui conferma che il fornitore di servizi di intermediazione dei dati ha presentato la notifica di cui al paragrafo 1 e che la notifica contiene le informazioni di cui al paragrafo 6.
9. Su richiesta del fornitore di servizi di intermediazione dei dati, l'autorità competente per i servizi di intermediazione dei dati conferma, che il fornitore di servizi di intermediazione dei dati è conforme alle disposizioni di cui al presente articolo e all'articolo 12. Una volta ricevuta detta conferma, il fornitore di servizi di intermediazione dei dati in questione può utilizzare il titolo «fornitore di servizi di intermediazione dei dati riconosciuto nell'Unione» nelle sue comunicazioni scritte e orali, nonché un logo comune.
Per garantire che i fornitori di servizi di intermediazione dei dati riconosciuti nell’Unione siano facilmente identificabili in tutta l'Unione, la Commissione stabilisce, mediante atti di esecuzione, un disegno per il logo comune. I fornitori di servizi di intermediazione dei dati riconosciuti nell’Unione espongono il logo comune in modo chiaro su ciascuna pubblicazione online e offline relativa alle loro attività di intermediazione dei dati.
Tali atti di esecuzione sono adottati secondo la procedura consultiva di cui all'articolo 33, paragrafo 2.
10. L'autorità competente per i servizi di intermediazione dei dati notifica senza ritardo alla Commissione, per via elettronica, ogni nuova notifica. La Commissione tiene e aggiorna regolarmente un registro pubblico di tutti i fornitori di servizi di intermediazione dei dati che forniscono i loro servizi nell'Unione. Le informazioni di cui al paragrafo 6, lettere a), b), c), d), f) e g), sono pubblicate nel registro pubblico.
11. L'autorità competente per i servizi di intermediazione dei dati può imporre tariffe per la notifica, in conformità del diritto nazionale. Tali tariffe sono proporzionate e oggettive e si basano sui costi amministrativi relativi al monitoraggio della conformità e ad altre attività di controllo del mercato da parte dell'autorità competente per i servizi di intermediazione dei dati in relazione alle notifiche dei fornitori di servizi di intermediazione dei dati. Nel caso delle PMI e delle start-up, l'autorità competente per i servizi di intermediazione dei dati può applicare tariffe ridotte o consentire la notifica a titolo gratuito.
12. I fornitori di servizi di intermediazione dei dati notificano all'autorità competente per i servizi di intermediazione dei dati ogni eventuale modifica delle informazioni fornite a norma del paragrafo 6 entro 14 giorni dalla data della modifica stessa.
13. qualora un fornitore di servizi di intermediazione dei dati cessi le sue attività, ne dà notifica entro 15 giorni alla pertinente autorità competente per i servizi di intermediazione dei dati individuata a norma dei paragrafi 1, 2 e 3.
14. L'autorità competente per i servizi di intermediazione dei dati notifica senza ritardo alla Commissione, per via elettronica, ciascuna notifica di cui ai paragrafi 12 e 13. La Commissione aggiorna di conseguenza il registro pubblico dei fornitori di servizi di intermediazione dei dati nell'Unione.
Articolo 12
Condizioni per la fornitura di servizi di intermediazione dei dati
La fornitura di servizi di intermediazione dei dati di cui all'articolo 10 è soggetta alle condizioni seguenti:
| a) | il fornitore di servizi di intermediazione dei dati non utilizza i dati per i quali fornisce servizi di intermediazione dei dati per scopi diversi dalla messa a disposizione di tali dati agli utenti dei dati e fornisce servizi di intermediazione dei dati attraverso una persona giuridica distinta; |
| b) | le condizioni commerciali, compresa la fissazione del prezzo, per la fornitura di servizi di intermediazione dei dati a un titolare dei dati o a un utente dei dati non sono subordinate al fatto che il titolare dei dati o l'utente dei dati utilizzi altri servizi forniti dallo stesso fornitore di servizi di intermediazione dei dati o da un'entità collegata, e, in caso affermativo, in che misura il titolare dei dati o gli utenti dei dati utilizzano tali altri servizi; |
| c) | i dati raccolti su qualsiasi attività di una persona fisica o giuridica ai fini della fornitura del servizio di intermediazione dei dati, compresi la data, l'ora e i dati di geolocalizzazione, la durata dell'attività e i collegamenti con altre persone fisiche o giuridiche stabiliti dalla persona che utilizza il servizio di intermediazione dei dati, sono utilizzati solo per lo sviluppo di tale servizio di intermediazione dei dati, il che può comportare l'uso di dati per l'individuazione di frodi o a fini di cibersicurezza, e sono messi a disposizione dei titolari dei dati su richiesta; |
| d) | il fornitore di servizi di intermediazione dei dati agevola lo scambio dei dati nel formato in cui li riceve da un interessato o da un titolare dei dati, li converte in formati specifici solo allo scopo di migliorare l'interoperabilità a livello intrasettoriale e intersettoriale, se richiesto dall'utente dei dati, se prescritto dal diritto dell'Unione o per garantire l'armonizzazione con le norme internazionali o europee in materia di dati e offre agli interessati o ai titolari dei dati la possibilità di non partecipare a tali conversioni, a meno che la conversione non sia prescritta dal diritto dell'Unione; |
| e) | i servizi di intermediazione dei dati possono comprendere l'offerta di strumenti e servizi supplementari specifici ai titolari dei dati o agli interessati allo scopo specifico di facilitare lo scambio dei dati, come la conservazione temporanea, la cura, la conversione, l'anonimizzazione e la pseudonimizzazione, fermo restando che tali strumenti e servizi sono utilizzati solo su richiesta o approvazione esplicita del titolare dei dati o dell' interessato e gli strumenti di terzi offerti in tale contesto non utilizzano i dati per altri scopi; |
| f) | il fornitore di servizi di intermediazione dei dati provvede affinché la procedura di accesso al suo servizio sia equa, trasparente e non discriminatoria sia per gli interessati e i titolari dei dati sia per gli utenti dei dati, anche per quanto riguarda i prezzi e le condizioni di servizio; |
| g) | il fornitore di servizi di intermediazione dei dati dispone di procedure per prevenire pratiche fraudolente o abusive in relazione a soggetti che richiedono l' accesso tramite i suoi servizi di intermediazione dei dati; |
| h) | in caso di insolvenza, il fornitore di servizi di intermediazione dei dati garantisce una ragionevole continuità della fornitura dei suoi servizi di intermediazione dei dati e, nel caso tali servizi di intermediazione dei dati garantiscono la conservazione dei dati, dispone di meccanismi che consentano ai titolari dei dati e agli utenti dei dati di ottenere l' accesso ai loro dati o il trasferimento o il recupero degli stessi, e che consentano agli interessati, nel caso in cui tale fornitura di servizi di intermediazione dei dati sia fornita tra interessati e utenti dei dati, di esercitare i propri diritti; |
| i) | il fornitore di servizi di intermediazione dei dati adotta misure adeguate per garantire l'interoperabilità con altri servizi di intermediazione dei dati, tra l'altro mediante norme aperte di uso comune nel settore in cui opera il fornitore di servizi di intermediazione dei dati; |
| j) | il fornitore di servizi di intermediazione dei dati mette in atto adeguate misure tecniche, giuridiche e organizzative al fine di impedire il trasferimento di dati non personali o l' accesso a questi ultimi nel caso in cui ciò sia illegale a norma del diritto dell'Unione o del diritto nazionale dello Stato membro interessato; |
| k) | il fornitore di servizi di intermediazione dei dati informa senza ritardo i titolari dei dati in caso di trasferimento, accesso o utilizzo non autorizzati dei dati non personali che ha condiviso; |
| l) | il fornitore di servizi di intermediazione dei dati adotta le misure necessarie per garantire un adeguato livello di sicurezza per la conservazione, il trattamento e la trasmissione di dati non personali, e il fornitore di servizi di intermediazione dei dati assicura inoltre il massimo livello di sicurezza per la conservazione e la trasmissione di informazioni sensibili sotto il profilo della concorrenza; |
| m) | il fornitore di servizi di intermediazione dei dati che offre servizi agli interessati agisce nell'interesse superiore di questi ultimi nel facilitare l'esercizio dei loro diritti, in particolare informandoli e, se opportuno, fornendo loro consulenza in maniera concisa, trasparente, intelligibile e facilmente accessibile sugli utilizzi previsti dei dati da parte degli utenti dei dati e sui termini e le condizioni standard cui sono subordinati tali utilizzi, prima che gli interessati diano il loro consenso; |
| n) | qualora un fornitore di servizi di intermediazione dei dati fornisca strumenti per ottenere il consenso degli interessati o le autorizzazioni a trattare i dati messi a disposizione dai titolari dei dati, esso specifica, se del caso, la giurisdizione del paese terzo in cui si intende effettuare l'utilizzo dei dati e fornisce agli interessati gli strumenti per dare e revocare il consenso e ai titolari dei dati gli strumenti per dare e revocare le autorizzazioni a trattare i dati; |
| o) | il fornitore di servizi di intermediazione dei dati tiene un registro dell'attività di intermediazione dei dati. |
Articolo 14
Monitoraggio della conformità
1. Le autorità competenti per i servizi di intermediazione dei dati monitorano e controllano la conformità dei fornitori dei servizi di intermediazione dei dati ai requisiti di cui al presente capo. Le autorità competenti per i servizi di intermediazione dei dati possono inoltre monitorare e controllare la conformità dei fornitori dei servizi di intermediazione dei dati sulla base di una richiesta da parte di persone fisiche o giuridiche.
2. Le autorità competenti per i servizi di intermediazione dei dati hanno il potere di chiedere ai fornitori di servizi di intermediazione dei dati o ai loro rappresentanti legali tutte le informazioni necessarie per verificare la conformità ai requisiti di cui al presente capo. Le richieste di informazioni sono motivate e proporzionate rispetto all'assolvimento del compito.
3. qualora constati che un fornitore di servizi di intermediazione dei dati non rispetta uno o più requisiti di cui al presente capo, l'autorità competente per i servizi di intermediazione dei dati notifica tale circostanza al fornitore di servizi di intermediazione dei dati e gli offre l'opportunità di esprimere osservazioni entro 30 giorni dal ricevimento della notifica.
4. L'autorità competente per i servizi di intermediazione dei dati ha il potere di imporre la cessazione della violazione di cui al paragrafo 3 entro un termine ragionevole oppure immediatamente in caso di violazione grave e adotta misure adeguate e proporzionate volte ad assicurare l'osservanza. A tal proposito l'autorità competente per i servizi di intermediazione dei dati ha il potere, ove opportuno, di:
| a) | imporre, mediante procedure amministrative, sanzioni pecuniarie dissuasive, che possono includere sanzioni periodiche e sanzioni con effetto retroattivo, oppure avviare procedimenti giudiziari per l'imposizione di ammende, o entrambe le misure; |
| b) | chiedere un rinvio dell'inizio o della fornitura del servizio di intermediazione dei dati, o una sospensione della stessa, fino a quando non siano state apportate le modifiche alle condizioni richieste dall'autorità competente per i servizi di intermediazione dei dati; o |
| c) | chiedere la cessazione della fornitura del servizio di intermediazione dei dati nel caso in cui le violazioni gravi o ripetute non siano state rettificate nonostante la notifica preventiva di cui al paragrafo 3. |
Una volta ordinata la cessazione della fornitura del servizio di intermediazione dei dati, l'autorità competente per i servizi di intermediazione dei dati chiede alla Commissione di eliminare il fornitore del servizio di intermediazione dei dati dal registro dei fornitori di servizi di intermediazione dei dati in conformità del primo comma, lettera c).
Se un fornitore di servizi di intermediazione dei dati rettifica le violazioni, tale fornitore di servizi di intermediazione dei dati invia una nuova notifica all'autorità competente per i servizi di intermediazione dei dati. L'autorità competente per i servizi di intermediazione dei dati notifica alla Commissione ognuna di tali nuove notifiche.
5. qualora un fornitore di servizi di intermediazione dei dati non stabilito nell'Unione non designi un rappresentante_legale o qualora quest'ultimo non fornisca, su richiesta dell'autorità competente per i servizi di intermediazione dei dati, le informazioni necessarie che dimostrino in modo esauriente il rispetto del presente regolamento, l'autorità competente per i servizi di intermediazione dei dati ha il potere di rinviare l'inizio della fornitura del servizio di intermediazione dei dati, o sospenderla, fino alla designazione del rappresentante_legale o alla presentazione delle informazioni necessarie.
6. Le autorità competenti per i servizi di intermediazione dei dati notificano senza ritardo al fornitore di servizi di intermediazione dei dati interessato le misure imposte a norma dei paragrafi 4 e 5 e i motivi su cui si basano, nonché le misure che occorre adottare per rettificare le lacune pertinenti, e stabiliscono un periodo ragionevole, non superiore a 30 giorni, entro il quale il fornitore di servizi di intermediazione dei dati deve conformarsi a tali misure.
7. Se lo stabilimento_principale o il rappresentante_legale di un fornitore di servizi di intermediazione dei dati si trova in uno Stato membro, ma tale fornitore presta servizi in altri Stati membri, l'autorità competente per i servizi di intermediazione dei dati dello Stato membro dello stabilimento_principale o in cui si trova il rappresentante_legale e le autorità competenti per i servizi di intermediazione dei dati di tali altri Stati membri collaborano e si prestano assistenza reciprocamente. Tali assistenza e collaborazione possono comprendere scambi di informazioni tra le autorità competenti per i servizi di intermediazione dei dati interessate ai fini dell'assolvimento dei loro compiti a norma del presente regolamento e richieste motivate di adottare le misure di cui al presente articolo.
Se un'autorità competente per i servizi di intermediazione dei dati di uno Stato membro chiede assistenza a un'autorità competente per i servizi di intermediazione dei dati di un altro Stato membro, essa presenta una richiesta motivata. L'autorità competente per i servizi di intermediazione dei dati che riceve tale richiesta fornisce una risposta senza ritardo ed entro un termine proporzionato all'urgenza della richiesta.
Tutte le informazioni scambiate nel quadro dell'assistenza richiesta e prestata a norma del presente paragrafo sono utilizzate solo in relazione alla questione per cui sono state richieste.
Articolo 19
Registrazione delle organizzazioni per l'altruismo dei dati riconosciute
1. Un'entità che soddisfi i requisiti di cui all'articolo 18 può presentare una domanda di registrazione nel registro pubblico nazionale delle organizzazioni per l'altruismo dei dati riconosciute nello Stato membro in cui è stabilita.
2. Un'entità che soddisfa i requisiti di cui all'articolo 18 e ha stabilimenti in più di uno Stato membro può presentare una domanda di registrazione nel registro pubblico nazionale delle organizzazioni di altruismo dei dati riconosciute nello Stato membro in cui ha lo stabilimento_principale.
3. Un'entità che soddisfa i requisiti di cui all'articolo 18 ma che non è stabilita nell'Unione designa un rappresentante_legale in uno degli Stati membri in cui offre i servizi di intermediazione dei dati.
Al fine di garantire la conformità al presente regolamento, il rappresentante_legale riceve dall'entità il mandato di essere interpellato oltre all'entità stessa o al suo posto dalle autorità competenti per la registrazione delle organizzazioni per l'altruismo dei dati o dagli interessati o dai titolari dei dati per quanto riguarda tutte le questioni relative a tale entità. Il rappresentante_legale collabora con le autorità competenti per la registrazione delle organizzazioni per l'altruismo dei dati e, su richiesta, dimostra loro in modo esauriente le misure adottate e le disposizioni messe in atto dall'entità per garantire la conformità al presente regolamento.
L'entità è considerata soggetta alla giurisdizione dello Stato membro in cui è situato il rappresentante_legale. Tale entità può presentare una domanda di registrazione nel registro pubblico nazionale delle organizzazioni per l'altruismo dei dati riconosciute in tale Stato membro. La designazione di un rappresentante_legale a cura dell'entità fa salve eventuali azioni legali che potrebbero essere promosse contro l'entità.
4. La domanda di registrazione di cui ai paragrafi 1, 2 e 3 contiene le informazioni seguenti:
| a) | il nome dell'entità; |
| b) | lo status giuridico, la forma giuridica e, qualora essa sia registrata in un registro pubblico nazionale, il numero di registrazione dell'entità; |
| c) | lo statuto dell'entità, se opportuno; |
| d) | le fonti di reddito dell'entità; |
| e) | l'indirizzo dell'eventuale stabilimento_principale dell'entità nell'Unione e, se opportuno, di eventuali sedi secondarie in un altro Stato membro o quello del rappresentante_legale; |
| f) | un sito web pubblico in cui sono reperibili informazioni complete e aggiornate sull'entità e sulle sue attività, comprese almeno le informazioni di cui alle lettere a), b), d), e) e h); |
| g) | le persone di contatto dell'entità e i relativi recapiti; |
| h) | gli obiettivi di interesse generale che l'entità intende promuovere raccogliendo i dati; |
| i) | la natura dei dati che l'entità intende controllare o trattare e, nel caso di dati personali, l'indicazione delle categorie di dati personali; |
| j) | qualsiasi altro documento che dimostri il soddisfacimento dei requisiti di cui all'articolo 18. |
5. qualora l'entità abbia presentato tutte le informazioni necessarie a norma del paragrafo 4 e una volta che l'autorità competente per la registrazione delle organizzazioni per l'altruismo dei dati abbia valutato la domanda di registrazione e concluso che l'entità soddisfa i requisiti di cui all'articolo 18, l'autorità competente registra l'entità nel registro pubblico nazionale delle organizzazioni per l'altruismo dei dati riconosciute entro 12 settimane dalla data di ricevimento della domanda di registrazione. La registrazione è valida in tutti gli Stati membri.
L'autorità competente per la registrazione delle organizzazioni per l'altruismo dei dati notifica ogni registrazione alla Commissione. La Commissione inserisce tale registrazione nel registro pubblico dell'Unione delle organizzazioni per l'altruismo dei dati riconosciute.
6. Le informazioni di cui al paragrafo 4, lettere a), b), f), g) e h), sono pubblicate nel registro pubblico nazionale pertinente delle organizzazioni per l'altruismo dei dati riconosciute.
7. Un'organizzazione per l'altruismo dei dati riconosciuta notifica alla pertinente autorità competente per la registrazione delle organizzazioni per l'altruismo dei dati le eventuali modifiche delle informazioni fornite a norma del paragrafo 4 entro 14 giorni dalla data della modifica.
L'autorità competente per la registrazione delle organizzazioni per l'altruismo dei dati notifica senza ritardo alla Commissione, per via elettronica, ciascuna di tali notifiche. Sulla base di tale notifica la Commissione aggiorna senza ritardo il registro pubblico dell'Unione delle organizzazioni per l'altruismo dei dati riconosciute.
Articolo 21
Obblighi specifici di tutela dei diritti e degli interessi degli interessati e dei titolari dei dati per quanto riguarda i loro dati
1. Un'organizzazione per l'altruismo dei dati riconosciuta informa in maniera chiara e facilmente comprensibile gli interessati o i titolari dei dati, prima di qualsiasi trattamento dei loro dati, in merito:
| a) | agli obiettivi di interesse generale e, se opportuno, alla finalità determinata, esplicita e legittima per cui i dati devono essere trattati, e per i quali acconsentono al trattamento dei loro dati da parte di un utente dei dati; |
| b) | all'ubicazione e agli obiettivi di interesse generale per cui acconsentono a eventuali trattamenti effettuati in un paese terzo, nel caso in cui il trattamento sia effettuato dall‘organizzazione per l'altruismo dei dati riconosciuta. |
2. L'organizzazione per l'altruismo dei dati riconosciuta non utilizza i dati per altri obiettivi diversi da quelli di interesse generale per i quali gli interessati o i titolari dei dati acconsentono al trattamento. L'organizzazione per l'altruismo dei dati riconosciuta non ricorre a pratiche commerciali ingannevoli per sollecitare la fornitura di dati.
3. L'organizzazione per l'altruismo dei dati riconosciuta fornisce strumenti per ottenere il consenso degli interessati o le autorizzazioni al trattamento dei dati messi a disposizione dai titolari dei dati. L'organizzazione per l'altruismo dei dati riconosciuta fornisce altresì strumenti per l'agevole revoca di tale consenso o autorizzazione.
4. L'organizzazione per l'altruismo dei dati riconosciuta adotta misure intese a garantire un livello adeguato di sicurezza per la conservazione e il trattamento di dati non personali che ha raccolto sulla base dell'altruismo dei dati.
5. L'organizzazione per l'altruismo dei dati riconosciuta informa senza ritardo i titolari dei dati in caso di trasferimento, accesso o utilizzo non autorizzati dei dati non personali che ha condiviso.
6. qualora l'organizzazione per l'altruismo dei dati riconosciuta agevoli il trattamento dei dati da parte di terzi, anche fornendo strumenti per ottenere il consenso degli interessati o le autorizzazioni a trattare i dati messi a disposizione dai titolari dei dati, essa specifica, se del caso, la giurisdizione del paese terzo in cui i dati sono destinati a essere utilizzati.
Articolo 23
Autorità competenti per la registrazione di organizzazioni per l'altruismo dei dati
1. Ciascuno Stato membro designa una o più autorità competenti responsabili del registro pubblico nazionale delle organizzazioni per l'altruismo dei dati riconosciute.
Le autorità competenti per la registrazione di organizzazioni per l'altruismo dei dati rispettano i requisiti di cui all'articolo 26.
2. Ciascuno Stato membro notifica alla Commissione l'identità delle proprie autorità competenti per la registrazione delle organizzazioni per l'altruismo dei dati entro il 24 settembre 2023. Ciascuno Stato membro notifica alla Commissione ogni successiva modifica dell'identità di tali autorità competenti.
3. L'autorità competente per la registrazione delle organizzazioni per l'altruismo dei dati di uno Stato membro svolge i propri compiti in collaborazione con la pertinente autorità per la protezione dei dati, qualora tali compiti siano connessi al trattamento dei dati personali, e con le pertinenti autorità settoriali dello Stato membro in questione.
Articolo 24
Monitoraggio della conformità
1. Le autorità competenti per la registrazione delle organizzazioni per l'altruismo dei dati monitorano e controllano la conformità alle prescrizioni stabilite nel presente capo da parte organizzazioni per l'altruismo dei dati riconosciute. L'autorità competente per la registrazione delle organizzazioni per l'altruismo dei dati può inoltre monitorare e controllare la conformità di tali organizzazioni per l'altruismo dei dati riconosciute su richiesta di persone fisiche o giuridiche.
2. Le autorità competenti per la registrazione delle organizzazioni per l'altruismo dei dati hanno il potere di richiedere alle organizzazioni per l'altruismo dei dati riconosciute le informazioni necessarie a verificare il rispetto delle prescrizioni del presente capo. Le richieste di informazioni sono motivate e proporzionate rispetto all'assolvimento del compito.
3. L'autorità competente per la registrazione delle organizzazioni per l'altruismo dei dati che accerti l'inosservanza da parte di un’organizzazione per l'altruismo dei dati riconosciuta di una o più prescrizioni di cui al presente capo, notifica all'organizzazioni per l'altruismo dei dati riconosciuta quanto accertato e le offre l'opportunità di esprimere osservazioni entro 30 giorni dal ricevimento della notifica.
4. L'autorità competente per la registrazione delle organizzazioni per l'altruismo dei dati ha il potere di imporre la cessazione della violazione di cui al paragrafo 3 immediatamente oppure entro un termine ragionevole e adotta misure adeguate e proporzionate volte ad assicurare l'osservanza.
5. qualora un’organizzazione per l'altruismo dei dati riconosciuta non rispetti una o più prescrizioni di cui al presente capo anche dopo aver ricevuto la notifica dell'autorità competente per la registrazione delle organizzazioni per l'altruismo dei dati conformemente al paragrafo 3, tale organizzazione per l'altruismo dei dati riconosciuta:
| a) | perde il diritto di utilizzare il titolo di «organizzazione per l'altruismo dei dati riconosciuta nell'Unione» in qualsiasi comunicazione scritta e orale; |
| b) | è rimossa dal pertinente registro pubblico nazionale delle organizzazioni per l'altruismo dei dati riconosciute e dal registro pubblico dell'Unione delle organizzazioni per l'altruismo dei dati riconosciute. |
L'autorità competente per la registrazione delle organizzazioni per l'altruismo dei dati rende pubblica ogni decisione di revoca del diritto di utilizzare il titolo di «organizzazione per l'altruismo dei dati riconosciuta nell'Unione» a norma del primo comma, lettera a).
6. Se un'organizzazione per l'altruismo dei dati riconosciuta ha lo stabilimento_principale o il rappresentante_legale in uno Stato membro ma è attiva in altri Stati membri, l'autorità competente per la registrazione delle organizzazioni per l'altruismo dei dati dello Stato membro in cui si trova lo stabilimento_principale o il rappresentante_legale e le autorità competenti per la registrazione delle organizzazioni per l'altruismo dei dati di tali altri Stati membri collaborano e si prestano reciprocamente assistenza. Tali assistenza e collaborazione possono comprendere scambi di informazioni tra le autorità competenti per la registrazione delle organizzazioni per l'altruismo dei dati interessate ai fini dei compiti stabiliti nel presente regolamento e richieste motivate di adottare le misure di cui al presente articolo.
Se un'autorità competente per la registrazione delle organizzazioni per l'altruismo dei dati di uno Stato membro chiede assistenza all'autorità competente per la registrazione delle organizzazioni per l'altruismo dei dati di un altro Stato membro, essa presenta una richiesta motivata. A seguito di tale richiesta, l'autorità competente per la registrazione delle organizzazioni per l'altruismo dei dati fornisce una risposta senza ritardo ed entro un termine proporzionato all'urgenza della richiesta.
Tutte le informazioni scambiate nel quadro dell'assistenza richiesta e prestata a norma del presente paragrafo sono utilizzate solo in relazione alla questione per cui sono state richieste.
Articolo 25
Modulo europeo di consenso all'altruismo dei dati
1. Al fine di facilitare la raccolta dei dati basata sull'altruismo dei dati, la Commissione adotta atti di esecuzione per l'istituzione e l'elaborazione di un modulo europeo di consenso all'altruismo dei dati, previa consultazione del comitato europeo per la protezione dei dati, tenendo conto del parere del comitato europeo per l'innovazione in materia di dati e coinvolgendo opportunamente i pertinenti portatori di interessi. Il modulo permette di raccogliere il consenso o l’ autorizzazione in un formato uniforme in tutti gli Stati membri. Tali atti di esecuzione sono adottati secondo la procedura consultiva di cui all'articolo 33, paragrafo 2.
2. Il modulo europeo di consenso all'altruismo dei dati utilizza un approccio modulare che ne consente la personalizzazione in funzione di settori specifici e finalità diverse.
3. qualora siano forniti dati personali, il modulo europeo di consenso all'altruismo dei dati garantisce che gli interessati possano dare e revocare il proprio consenso a una specifica operazione di trattamento dei dati conformemente alle prescrizioni di cui al regolamento (UE) 2016/679.
4. Il modulo è disponibile in un formato stampabile e facilmente comprensibile nonché in un formato elettronico predisposto per la lettura automatica.
CAPO V
Autorità competenti e disposizioni procedurali
Articolo 26
Requisiti relativi alle autorità competenti
1. Le autorità competenti per i servizi di intermediazione dei dati e le autorità competenti per la registrazione delle organizzazioni per l'altruismo dei dati sono giuridicamente distinte e funzionalmente indipendenti da qualsiasi fornitore di servizi di intermediazione dei dati o organizzazione per l'altruismo dei dati riconosciuta. Le funzioni delle autorità competenti per i servizi di intermediazione dei dati e le autorità competenti per la registrazione delle organizzazioni per l'altruismo dei dati possono essere svolte dalla stessa autorità. Gli Stati membri possono istituire una o più autorità nuove per tali finalità o avvalersi di quelle esistenti.
2. Le autorità competenti per i servizi di intermediazione dei dati e le autorità competenti per la registrazione delle organizzazioni per l'altruismo dei dati svolgono i loro compiti in maniera imparziale, trasparente, coerente, affidabile e tempestiva. Nell'esercizio dei loro compiti, esse salvaguardano la concorrenza leale e la non discriminazione.
3. L'alta dirigenza e il personale addetto allo svolgimento dei compiti pertinenti delle autorità competenti per i servizi di intermediazione dei dati e le autorità competenti per la registrazione delle organizzazioni per l'altruismo dei dati non possono essere il progettista, il fabbricante, il fornitore, l'installatore, l'acquirente, il proprietario, l'utente o il responsabile della manutenzione dei servizi che essi valutano, né il rappresentante autorizzato di uno di questi soggetti, né rappresentarli. Ciò non preclude l'uso dei servizi valutati che sono necessari per il funzionamento dell'autorità competente per i servizi di intermediazione dei dati e l'autorità competente per la registrazione delle organizzazioni per l'altruismo dei dati o l'uso di tali servizi per scopi personali.
4. L'alta dirigenza e il personale delle autorità competenti per i servizi di intermediazione dei dati e le autorità competenti per la registrazione delle organizzazioni per l'altruismo dei dati non intraprendono alcuna attività che possa entrare in conflitto con la loro indipendenza di giudizio o la loro integrità in relazione alle attività di valutazione loro affidate.
5. Le autorità competenti per i servizi di intermediazione dei dati e le autorità competenti per la registrazione delle organizzazioni per l'altruismo dei dati hanno a loro disposizione le risorse finanziarie e umane adeguate per svolgere i compiti loro affi dati, comprese le risorse e le conoscenze tecniche necessarie.
6. Su richiesta motivata e senza ritardo, le autorità competenti per i servizi di intermediazione dei dati e le autorità competenti per la registrazione delle organizzazioni per l'altruismo dei dati di uno Stato membro forniscono alla Commissione e alle autorità competenti per i servizi di intermediazione dei dati e le autorità competenti per la registrazione delle organizzazioni per l'altruismo dei dati degli altri Stati membri le informazioni necessarie a svolgere i loro compiti a norma del presente regolamento. qualora un'autorità competente per i servizi di intermediazione dei dati o un'autorità competente per la registrazione delle organizzazioni per l'altruismo dei dati ritenga che le informazioni richieste siano riservate conformemente alle norme dell'Unione e nazionali in materia di riservatezza commerciale e segreto professionale, la Commissione e le altre autorità competenti per i servizi di intermediazione dei dati o le autorità competenti per la registrazione delle organizzazioni per l'altruismo dei dati interessate garantiscono tale riservatezza.
Articolo 31
Accesso internazionale e trasferimento
1. L' ente_pubblico, la persona fisica o giuridica cui è stato concesso il diritto di riutilizzo dei dati a norma del capo II, il fornitore di servizi di intermediazione dei dati, o l'organizzazione per l'altruismo dei dati riconosciuta, adotta tutte le ragionevoli misure tecniche, giuridiche e organizzative, compresi accordi contrattuali, per impedire il trasferimento internazionale di dati non personali detenuti nell'Unione o l' accesso a questi ultimi da parte delle autorità pubbliche qualora tale trasferimento o accesso confliggesse con il diritto dell'Unione o il diritto nazionale dello Stato membro pertinente, fatto salvo il paragrafo 2 o 3.
2. Le decisioni o le sentenze di un'autorità giurisdizionale di un paese terzo e le decisioni di un'autorità amministrativa di un paese terzo che dispongano che un ente_pubblico, una persona fisica o giuridica cui è stato concesso il diritto di riutilizzo dei dati a norma del capo II, un fornitore di servizi di intermediazione dei dati o un'organizzazione per l'altruismo dei dati riconosciuta trasferiscano dati non personali detenuti nell'Unione o vi diano accesso nell'ambito di applicazione del presente regolamento sono rinconosciute o assumono qualsivoglia carattere esecutivo soltanto se basate su un accordo internazionale in vigore tra il paese terzo richiedente e l'Unione, ad esempio un trattato di mutua assistenza giudiziaria, o su un accordo di questo tipo concluso tra il paese terzo richiedente e uno Stato membro.
3. In mancanza di un accordo internazionale di cui al paragrafo 2 del presente articolo, qualora un ente_pubblico, una persona fisica o giuridica cui è stato concesso il diritto di riutilizzo dei dati a norma del capo II, un fornitore di servizi di intermediazione dei dati o un'organizzazione per l'altruismo dei dati riconosciuta siano destinatari di una decisione o di una sentenza di un'autorità giurisdizionale di un paese terzo o di una decisione di un'autorità amministrativa di un paese terzo che ordini il trasferimento di dati non personali detenuti nell'Unione o che vi sia dato accesso nell'ambito di applicazione del presente regolamento, e il rispetto di tale decisione rischi di mettere il destinatario in conflitto con il diritto dell'Unione o con il diritto nazionale dello Stato membro pertinente, il trasferimento di tali dati o l' accesso agli stessi da parte di tale autorità di un paese terzo ha luogo solo se:
| a) | il sistema del paese terzo richiede che siano indicati i motivi e la proporzionalità della decisione o della sentenza, e richiede che tale decisione o sentenza abbia carattere specifico, ad esempio stabilendo un nesso sufficiente con determinate persone sospettate o determinate violazioni; |
| b) | l'obiezione motivata del destinatario è oggetto di esame da parte di un’autorità giurisdizionale competente del paese terzo; e |
| c) | l'autorità giurisdizionale competente del paese terzo che emette la decisione o la sentenza o esamina la decisione di un'autorità amministrativa ha il potere, in virtù del diritto di tale paese terzo, di tenere debitamente conto dei pertinenti interessi giuridici del fornitore dei dati tutelati a norma del diritto dell'Unione o dal diritto nazionale del pertinente Stato membro. |
4. Se le condizioni di cui ai paragrafi 2 o 3 sono soddisfatte, l' ente_pubblico, la persona fisica o giuridica cui è stato concesso il diritto di riutilizzo dei dati a norma del capo II, il fornitore di servizi di intermediazione dei dati o l'organizzazione per l'altruismo dei dati riconosciuta fornisce la quantità minima di dati ammissibile in risposta a una richiesta, sulla base di un'interpretazione ragionevole della richiesta.
5. L' ente_pubblico, la persona fisica o giuridica cui è stato concesso il diritto di riutilizzo dei dati a norma del capo II, il fornitore di servizi di intermediazione dei dati e l'organizzazione per l'altruismo dei dati riconosciuta informano il titolare dei dati dell'esistenza di una richiesta di accesso ai suoi dati da parte di un'autorità amministrativa di un paese terzo prima di soddisfare tale richiesta, tranne nei casi in cui la richiesta abbia fini di contrasto e per il tempo necessario a preservare l'efficacia dell'attività di contrasto.
CAPO VIII
Delega e procedura di comitato
whereas