COMMISSIONE EUROPEA
Bruxelles, 19.11.2025
COM(2025) 837 final
2025/0360(COD)
Proposta di
REGOLAMENTO DEL PARLAMENTO EUROPEO E DEL CONSIGLIO
che modifica i regolamenti (UE) 2016/679, (UE) 2018/1724, (UE) 2018/1725 e (UE) 2023/2854 e le direttive 2002/58/CE, (UE) 2022/2555 e (UE) 2022/2557 per quanto riguarda la semplificazione del quadro legislativo nel settore digitale e che abroga i regolamenti (UE) 2018/1807, (UE) 2019/1150 e (UE) 2022/868 e la direttiva (UE) 2019/1024 (omnibus digitale)
{SWD(2025) 836 final}
RELAZIONE
1.CONTESTO DELLA PROPOSTA
•Motivi e obiettivi della proposta
Nella sua comunicazione sull'attuazione e la semplificazione ("Un'Europa più semplice e più rapida"), la Commissione ha presentato il suo approccio volto ad adeguare il quadro normativo dell'Unione a un mondo più volatile: la nuova iniziativa finalizzata a semplificare, chiarire e migliorare l'acquis dell'UE costituisce una misura fondamentale per sostenere la competitività dell'UE.
Questa visione rispecchia il piano di più ampio respiro delineato dalla presidente della Commissione von der Leyen nei suoi orientamenti politici per il mandato 2024-2029. Come è stato anche evidenziato nelle relazioni Draghi e Letta, talvolta l'accumulo di norme ha inciso negativamente sulla competitività. Sono necessari miglioramenti rapidi e tangibili per i cittadini e le imprese, attraverso un'attuazione delle norme che sia più efficace sotto il profilo dei costi e favorevole all'innovazione, pur mantenendo standard elevati e rispettando gli obiettivi concordati.
Nelle conclusioni del 20 marzo 2025 il Consiglio europeo ha inoltre invitato la Commissione a "continuare a sottoporre ad esame e a prove di stress l'acquis dell'UE al fine di individuare modalità per semplificare e consolidare ulteriormente la legislazione vigente". Ha altresì sottolineato la necessità di assicurare un seguito mediante una serie di ulteriori iniziative di semplificazione. Nelle conclusioni del 26 giugno il Consiglio europeo ha sottolineato l'importanza di un approccio legislativo di "semplicità sin dalla progettazione", "senza compromettere la prevedibilità, gli obiettivi strategici e gli standard elevati". Le conclusioni del Consiglio europeo del 23 ottobre 2025 hanno ribadito "l'urgente necessità di portare avanti un'agenda ambiziosa e orientata orizzontalmente di semplificazione e di miglioramento della regolamentazione a tutti i livelli – dell'UE, nazionale e regionale – e in tutti i settori per garantire la competitività dell'Europa". La Commissione è stata inoltre invitata a "presentare rapidamente altri ambiziosi pacchetti di semplificazione riguardanti, tra l'altro, [...] il digitale".
Nella sua risoluzione sull'attuazione e razionalizzazione delle norme del mercato interno dell'UE per rafforzare il mercato unico, votata l'11 settembre in Aula, il Parlamento europeo ha sottolineato la necessità di una semplificazione normativa per agevolare i processi di conformità delle imprese senza compromettere gli obiettivi strategici fondamentali dell'UE.
Nel corso delle attività di consultazione e di dialogo con i portatori di interessi condotte dalla Commissione in merito al programma di semplificazione, questi ultimi, in rappresentanza di diversi interessi, hanno chiesto modifiche mirate di determinate norme digitali, sia per razionalizzare i costi di conformità che per chiarire le interazioni tra le norme riguardanti i rispettivi settori.
Con un valore aggiunto pari a 791 miliardi di EUR in tutta l'Unione europea nel 2022, il settore delle tecnologie dell'informazione e della comunicazione (TIC) riveste un ruolo cruciale nel promuovere la competitività dell'UE in tutti i settori dell'economia, sia attraverso la crescita delle imprese digitali sia offrendo soluzioni digitali fondamentali in tutti i settori. Le norme digitali sono state determinanti per la definizione di un contesto imprenditoriale equo nell'UE e hanno permesso la creazione di un vero e proprio mercato unico dei servizi digitali. L'UE ha fatto da apripista nella regolamentazione in ambito digitale e ha stabilito lo standard di riferimento per quanto riguarda il livello massimo di protezione dei diritti fondamentali, della sicurezza dei consumatori e della difesa dei valori europei.
La Commissione si è impegnata a sottoporre il corpus normativo riguardante il settore digitale a una "prova di stress" globale per tutta la durata del mandato legislativo, al fine di conseguire il chiaro obiettivo di garantire che le norme continuino a essere adeguate a sostenere l'innovazione e la crescita, siano in grado di raggiungere gli obiettivi prefissati e siano un motore per la competitività. Nel corso di questo processo la Commissione cercherà di proporre soluzioni convincenti per semplificare e chiarire le norme, consolidandone l'efficacia, e la relativa applicazione attraverso tutti gli strumenti disponibili, siano essi adeguamenti normativi, una cooperazione rafforzata tra le autorità, la promozione di soluzioni digitali che semplifichino la conformità normativa "sin dalla progettazione" o altre misure complementari.
La proposta di un pacchetto omnibus digitale rappresenta un primo passo per ottimizzare l'applicazione del corpus normativo sul digitale. Comprende una serie di modifiche tecniche da apportare a un ampio corpus normativo riguardante il digitale, selezionate per alleviare immediatamente gli oneri a carico delle imprese, delle pubbliche amministrazioni e dei cittadini, al fine di stimolare la competitività. L'obiettivo primario è garantire che il rispetto delle norme comporti costi inferiori, consenta di raggiungere gli stessi obiettivi e offra un vantaggio competitivo a imprese responsabili. La priorità con cui applicare le modifiche è stata stabilita sulla base delle consultazioni con i portatori di interessi e dei primi dialoghi in materia di attuazione condotti dalla vicepresidente esecutiva Henna Virkkunen e dal commissario Michael McGrath.
Per questi motivi, le modifiche si concentrano sulla possibilità di sfruttare le opportunità derivanti dall'uso dei dati, che rappresentano una risorsa fondamentale nell'economia dell'UE, anche al fine di sostenere lo sviluppo e l'utilizzo di soluzioni di intelligenza artificiale affidabili nel mercato dell'Unione. Il conseguimento di tale obiettivo è sostenuto dall'adozione di modifiche mirate delle norme in materia di protezione dei dati e della vita privata, che introducono misure di semplificazione immediate per le imprese e i cittadini, consentendo loro di esercitare più facilmente i propri diritti.
Inoltre le modifiche del regolamento (UE) 2024/1689 (regolamento sull'intelligenza artificiale), presentate in una proposta legislativa distinta nel quadro del pacchetto omnibus digitale, mirano a garantire un'applicazione agevole ed efficace delle norme riguardanti lo sviluppo e l'uso sicuri e affidabili dell'IA.
Il pacchetto omnibus digitale propone inoltre una soluzione molto chiara per razionalizzare la segnalazione degli incidenti di cibersicurezza, facendo rientrare nell'ambito di un unico meccanismo di segnalazione tutti gli obblighi correlati.
Infine la proposta abroga norme obsolete nel settore della regolamentazione delle piattaforme, sostituite da regolamenti più recenti.
Le modifiche mirano a razionalizzare le norme, riducendo il numero di normative e armonizzando le disposizioni, e a ridurre i costi amministrativi, semplificando le disposizioni e le procedure. Tali modifiche intendono sollevare le piccole imprese a media capitalizzazione, oltre alle piccole imprese e alle microimprese già soggette a un regime speciale, da determinati obblighi previsti dalla normativa sui dati e dal regolamento (UE) 2024/1689 (regolamento sull'intelligenza artificiale). Il loro obiettivo è anche quello di favorire la creazione di un contesto imprenditoriale dinamico, garantendo maggiore certezza del diritto e nuove opportunità, in particolare per quanto riguarda la condivisione e il riutilizzo dei dati, il trattamento dei dati personali o l'addestramento di sistemi e modelli di intelligenza artificiale.
Allo stesso tempo, le modifiche proposte continuano ad essere di natura tecnica, mirando ad adeguare il quadro normativo, senza però modificarne gli obiettivi sottostanti. Le misure sono calibrate in modo da preservare lo stesso livello di tutela dei diritti fondamentali.
Insieme al pacchetto omnibus digitale, la Commissione presenterà anche una proposta di regolamento sui portafogli europei delle imprese, un'iniziativa fondamentale per semplificare la conformità normativa e ridurre gli oneri amministrativi per le imprese. Tali portafogli saranno concepiti in modo da costituire strumenti digitali sicuri per le imprese, che fungeranno da piattaforma unica per semplificare le loro interazioni in tutta l'UE. Grazie all'introduzione di un identificatore unico e persistente, le imprese avranno la possibilità di verificare digitalmente le identità, firmare i documenti, apporre una marcatura temporale e scambiare informazioni digitali verificate senza soluzione di continuità a livello transfrontaliero ricorrendo a un'unica soluzione. Grazie all'adozione dei portafogli europei delle imprese, queste ultime, in particolare le PMI, saranno in grado di gestire con facilità le procedure di conformità, liberando risorse essenziali che potranno essere destinate a promuovere la crescita e l'innovazione.
La seconda fase della "prova di stress" a cui la Commissione si è impegnata a sottoporre il corpus normativo sul digitale consiste in un controllo dell'adeguatezza digitale. Sebbene le proposte nel quadro del pacchetto omnibus digitale siano immediate e mirate, l'analisi che la Commissione effettuerà nell'ambito del controllo dell'adeguatezza digitale si concentrerà sull'impatto cumulativo delle norme digitali, cercando di verificare in che modo esse favoriscono la competitività dell'UE e in quali ambiti sarà necessario proporre ulteriori adeguamenti nella seconda metà del mandato legislativo.
Il controllo dell'adeguatezza digitale è avviato contestualmente alla proposta del pacchetto omnibus nel settore digitale e prevede un'ampia consultazione pubblica. La Commissione cerca di dialogare con tutti i portatori di interessi e di effettuare ampie consultazioni con l'obiettivo di ottenere un quadro generale del modo in cui il corpus normativo sul digitale si applica ai settori strategici dell'industria dell'UE, nonché di esaminare l'impatto cumulativo delle norme sulla loro competitività. Su tale base, in una seconda fase l'analisi esaminerà in modo più approfondito le sinergie e i settori che potrebbero essere ulteriormente allineati, a partire dalle definizioni e dai concetti giuridici all'efficacia e all'interazione dei sistemi di governance e di altre misure di sostegno.
La "prova di stress" a cui deve essere sottoposto l'acquis digitale proseguirà anche attraverso dialoghi in materia di attuazione nonché con la valutazione di tutti i principali strumenti giuridici. Nel quadro della pianificazione attuale, tra le altre iniziative, la Commissione prevede di pubblicare nel 2026 una revisione della normativa sui mercati digitali, del programma strategico per il decennio digitale, del regolamento sui chip e della direttiva sui servizi di media audiovisivi nonché una valutazione della direttiva sul diritto d'autore. Per il 2027 tra gli atti che dovrebbero essere valutati figurano, tra l'altro, il regolamento sulla cibersolidarietà, il regolamento relativo a un'internet aperta, la direttiva NIS 2 e il regolamento sui servizi digitali. Nel 2028 la Commissione dovrebbe valutare, ad esempio, il regolamento europeo sulla libertà dei media e il regolamento sui dati e, in seguito, il regolamento sull'IA nel 2029 e la clausola di temporaneità del regolamento che istituisce il Centro europeo di competenza per la cibersicurezza e la relativa rete.
I portatori di interessi hanno ripetutamente sottolineato che, in molti casi, lo sforzo di semplificazione non riguarda tanto la modifica delle norme, quanto piuttosto la necessità di chiarirne l'applicazione. La Commissione sta dando priorità a una serie di orientamenti volti a sostenere l'applicazione uniforme delle norme, fatte salve le interpretazioni della Corte di giustizia.
Per quanto riguarda il quadro normativo in materia di dati, la Commissione ha annunciato di voler dare priorità alla strategia per l'Unione dei dati, concentrandosi in particolare sulla definizione di orientamenti sulla compensazione ragionevole per chiarire quale possa essere il costo della condivisione dei dati, garantendo la certezza del diritto sia ai titolari che ai destinatari dei dati, e sull'elaborazione di orientamenti per chiarire le definizioni.
Al fine di sostenere l'applicazione del regolamento sull'intelligenza artificiale, la Commissione continua a dare priorità alla pubblicazione di orientamenti riguardanti diversi aspetti, come ulteriormente specificato nella relazione sulla proposta del pacchetto omnibus digitale che modifica il regolamento sull'intelligenza artificiale.
Proposte nel quadro del pacchetto omnibus digitale
Negli ultimi anni l'"acquis legislativo in materia di dati" è stato esteso a una serie di regolamenti, creando complessità giuridica, comprese alcune sovrapposizioni, nonché definizioni non perfettamente allineate e suscitando interrogativi sull'interazione tra i vari strumenti. In particolare è stato adottato il regolamento (UE) 2018/1807 (regolamento sulla libera circolazione dei dati non personali), concepito per creare un mercato unico dei servizi cloud, che è stato parzialmente sostituito dal capo VI del regolamento (UE) 2023/2854 (regolamento sui dati), che stabilisce obblighi in materia di passaggio tra servizi di trattamento dei dati.
Un altro esempio è il capo II del regolamento (UE) 2022/868 (regolamento sulla governance dei dati), che integra le norme sul riutilizzo dell'informazione del settore pubblico di cui alla direttiva (UE) 2019/1024 (direttiva sull'apertura dei dati) per i dati che non possono essere riutilizzati senza restrizioni. In altri capi del regolamento (UE) 2022/868 (regolamento sulla governance dei dati) sono altresì previste norme riguardanti i servizi di intermediazione dei dati, l'altruismo dei dati nonché i requisiti per le richieste di accesso a dati non personali da parte di governi dei paesi terzi ed è stato istituito il comitato europeo per l'innovazione in materia di dati. Il regolamento (UE) 2023/2854 (regolamento sui dati), d'altro canto, ha introdotto l'obbligo sostanziale per i fabbricanti di dispositivi connessi e i fornitori di servizi correlati di condividere i dati con i loro utenti o per le imprese di condividere i dati con le agenzie governative, nonché norme sulla stipula di contratti equi di condivisione dei dati.
Per far fronte a tale problematica, il pacchetto omnibus nel settore digitale propone di abrogare le norme obsolete, in particolare quelle attualmente vigenti nel quadro del regolamento (UE) 2018/1807 (regolamento sulla libera circolazione dei dati non personali), ad eccezione del divieto di applicazione degli obblighi di localizzazione dei dati nell'Unione, e di consolidare e razionalizzare le norme di cui al regolamento (UE) 2022/868 (atto sulla governance dei dati), come le norme sull'altruismo dei dati e sui servizi di intermediazione dei dati al fine di aumentare l'attrattiva di tali meccanismi di condivisione dei dati. Allo stesso tempo, le norme previste dal regolamento sulla governance dei dati relative al riutilizzo dei dati protetti sono state fuse con quelle della direttiva (UE) 2019/1024 (direttiva sull'apertura dei dati) al fine di creare un quadro unico per il riutilizzo dei dati detenuti da enti pubblici di cui al regolamento (UE) 2023/2854 (regolamento sui dati). Questa soluzione presenta numerosi vantaggi per le amministrazioni pubbliche che detengono dati del settore pubblico e per i riutilizzatori, in quanto permette loro di razionalizzare i processi e ridurre gli oneri amministrativi associati all'interpretazione e all'attuazione di diverse normative nazionali.
La proposta introduce inoltre la possibilità per gli enti pubblici di stabilire condizioni diverse e imporre tariffe più elevate per il riutilizzo da parte di imprese molto grandi e in particolare delle imprese designate come gatekeeper, quali definite all'articolo 3 del regolamento (UE) 2022/1925 (regolamento sui mercati digitali), che detengono un potere e un'influenza significativi sul mercato interno. Al fine di evitare che tali entità sfruttino il loro notevole potere di mercato a scapito della concorrenza leale e dell'innovazione, gli enti pubblici devono essere in grado di stabilire condizioni particolari per il riutilizzo di dati e documenti da parte delle entità menzionate.
La proposta include le norme consolidate e razionalizzate di cui al regolamento (UE) 2024/1689 (regolamento sulla libera circolazione dei dati), al regolamento (UE) 2022/868 (regolamento sulla governance dei dati) e alla direttiva (UE) 2019/1024 (direttiva sull'apertura dei dati) nel regolamento (UE) 2023/2854 (regolamento sui dati), creando un unico strumento consolidato per l'economia dei dati europea. Il regolamento (UE) 2024/1689 (regolamento sulla libera circolazione dei dati), la direttiva (UE) 2019/1024 (direttiva sull'apertura dei dati) e il regolamento (UE) 2022/868 (regolamento sulla governance dei dati) sono abrogati. Le norme previste da tutti e quattro gli strumenti sono meglio allineate e razionalizzate al fine di garantire maggiore chiarezza e coerenza, in modo da accrescerne l'efficacia e sostenere le imprese nel promuovere l'innovazione. La presente iniziativa è conforme alla strategia per l'Unione dei dati, che mira fondamentalmente a promuovere la semplificazione del quadro legislativo.
Inoltre, al fine di assistere ulteriormente le piccole imprese, le norme che consentono alle piccole e medie imprese (PMI) di conformarsi alla legislazione dell'UE in materia di dati in modo più agevole sono estese alle piccole imprese a media capitalizzazione. Il regolamento (UE) 2023/2854 (regolamento sui dati), entrato in applicazione il 12 settembre 2025, costituisce un passo significativo verso un'economia dei dati equa e competitiva nell'UE. Le modifiche indicate nella presente proposta non intendono intervenire sui risultati conseguiti dal regolamento (UE) 2023/2854 (regolamento sui dati).
Tuttavia, al fine di raggiungere pienamente il suo obiettivo di bilanciare l'innovazione e la disponibilità dei dati con la tutela dei diritti e degli interessi dei titolari dei dati, è necessario calibrare quattro elementi chiave. Nello specifico, è fondamentale garantire che il regolamento (UE) 2023/2854 (regolamento sui dati) non solo riduca gli oneri, ma aumenti anche la chiarezza giuridica e promuova la competitività. In primo luogo, vi è l'urgente necessità di rafforzare le garanzie contro il rischio di fuga di segreti commerciali verso paesi terzi nel contesto delle disposizioni obbligatorie in materia di condivisione dei dati tramite l'internet delle cose. In secondo luogo, l'ampia portata del quadro che disciplina la condivisione di dati tra imprese e pubblica amministrazione potrebbe comportare ambiguità giuridica. In terzo luogo, le disposizioni riguardanti i requisiti essenziali relativi ai contratti intelligenti per l'esecuzione degli accordi di condivisione dei dati potrebbero determinare incertezza giuridica. Infine le disposizioni del regolamento (UE) 2023/2854 (regolamento sui dati) relative al passaggio tra servizi di trattamento dei dati continuano a essere pertinenti e a rivestire un ruolo centrale nella creazione di un mercato del cloud più aperto e competitivo. Tuttavia tali disposizioni non tengono sufficientemente conto della situazione specifica dei servizi che, per essere utilizzabili, sono fortemente adattati alle esigenze di un cliente o forniti dalle PMI e dalle piccole imprese a media capitalizzazione. Le modifiche contenute nella presente proposta continueranno a conseguire l'obiettivo di eliminare la dipendenza da un unico fornitore e in particolare le tariffe di passaggio e di uscita, riducendo nel contempo gli oneri amministrativi per i fornitori dei suddetti servizi. La proposta presenta pertanto modifiche volte a migliorare la chiarezza giuridica e che sono fortemente allineate agli obiettivi generali del regolamento (UE) 2023/2854 (regolamento sui dati).
Inoltre, al fine di assistere ulteriormente le piccole imprese, le norme che consentono alle piccole e medie imprese (PMI) di conformarsi all'acquis dell'UE in materia di dati in modo più agevole sono estese alle piccole imprese a media capitalizzazione.
Per quanto riguarda i dati personali, il regolamento (UE) 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (regolamento generale sulla protezione dei dati) è divenuto applicabile il 25 maggio 2018 e stabilisce standard, norme e garanzie a livello dell'Unione per il trattamento dei dati personali delle persone fisiche, tutela i diritti degli interessati e definisce un quadro giuridico generale per i soggetti incaricati del trattamento dei dati personali. Sebbene in generale i portatori di interessi abbiano ritenuto che il regolamento (UE) 2016/679 (regolamento generale sulla protezione dei dati) sia equilibrato e solido e continui a essere adatto allo scopo, alcune entità, in particolare le imprese più piccole e le associazioni con un numero ridotto di operazioni di trattamento dei dati non intensive, spesso a basso rischio, hanno espresso preoccupazioni in merito all'applicazione di alcuni obblighi del regolamento generale sulla protezione dei dati. Alcune di queste preoccupazioni possono essere affrontate attraverso un'interpretazione e un'applicazione delle norme più coerenti e armonizzate in tutti gli Stati membri, mentre altre richiedono modifiche mirate della legislazione. In tale contesto, le modifiche contenute nella presente proposta mirano a rispondere a tali preoccupazioni, in particolare chiarendo alcune definizioni chiave, ad esempio il concetto di dati personali, favorendo il rispetto degli obblighi di informazione e di notifica delle violazioni dei dati alle autorità di controllo, permettendo ad esempio ai titolari del trattamento di ricorrere ai criteri e ai mezzi adeguati per determinare se i dati risultanti dalla pseudonimizzazione non costituiscono dati personali, nonché chiarendo alcuni aspetti relativi al trattamento dei dati per favorire l'addestramento e lo sviluppo dell'IA. Le modifiche proposte affrontano anche la questione della mancanza di chiarezza in merito alle condizioni che permettono la ricerca scientifica fornendo una definizione del concetto di ricerca scientifica, spiegando in modo più chiaro che l'ulteriore trattamento a fini scientifici è compatibile con la finalità iniziale del trattamento e chiarendo che la ricerca scientifica costituisce un interesse legittimo. Si propone inoltre di estendere le eccezioni all'obbligo di informazione per il trattamento. Ove necessario, la presente proposta applica le modifiche del regolamento generale sulla protezione dei dati anche al regolamento (UE) 2018/1725 sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell'Unione.
Inoltre si attende da tempo la messa a punto di una soluzione normativa per far fronte alla cosiddetta "stanchezza da consenso" e alla proliferazione dei cookie banner. La direttiva 2002/58/CE relativa alla vita privata e alle comunicazioni elettroniche (direttiva e-privacy), riveduta da ultimo nel 2009, fornisce un quadro di riferimento per la tutela della riservatezza delle comunicazioni e rende più preciso il regolamento (UE) 2016/679 (regolamento generale sulla protezione dei dati) nei casi in cui il trattamento dei dati personali avviene nel contesto delle comunicazioni elettroniche. Protegge inoltre le apparecchiature terminali degli utenti, che possono essere utilizzate per violare la loro vita privata e raccogliere informazioni personali. Una parte essenziale dell'uso delle apparecchiature terminali, come telefoni e personal computer, consiste nel consumo di contenuti e nell'utilizzo di servizi online. Molti di questi servizi online dipendono dai proventi derivanti dalla pubblicità, compresa quella personalizzata. Ciò vale anche per i servizi di media. I fornitori di servizi online si affidano ai cosiddetti cookie o a tecnologie analoghe che utilizzano le capacità di trattamento e conservazione delle apparecchiature terminali, accedendo in tal modo, ad esempio, alle informazioni conservate in tali apparecchiature o da esse emesse. Ciò è utilizzato per una serie di scopi, ad esempio per ottimizzare la fornitura del servizio per una data apparecchiatura terminale, garantire la sicurezza di tale apparecchiatura e del servizio nel suo complesso, ma anche per tracciare il comportamento delle persone fisiche e la loro interazione con i diversi servizi online al fine di fornire pubblicità personalizzata.
Quando l'uso di tali tecnologie non è necessario per la conservazione tecnica o l'accesso al solo fine di effettuare o facilitare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o quando è strettamente necessario a fornire un servizio della società dell'informazione esplicitamente richiesto dall'abbonato o dall'utente, la direttiva 2002/58/CE (direttiva e-privacy) prevede la richiesta del consenso. Tale consenso è generalmente richiesto tramite banner pop-up che appaiono sul sito web o sull'applicazione mobile e che contengono informazioni sulle finalità del trattamento, spesso collegate ai tipi di cookie e ai destinatari dei dati, che non sempre sono di facile comprensione. Per questi motivi potrebbero non raggiungere il loro obiettivo, ossia informare gli utenti di internet e permettere ad essi di avere un controllo sulla loro vita privata e sul trattamento dei dati personali, invece di essere percepiti come elementi di disturbo. Allo stesso tempo, i fornitori di servizi online sostengono costi considerevoli per la creazione di banner che siano conformi alle norme.
A rendere la situazione ancora più complessa, l'articolo 5, paragrafo 3, della direttiva 2002/58/CE (direttiva e-privacy) si applica all'inserimento di cookie o di tecnologie analoghe per ottenere informazioni dalle apparecchiature terminali di un utente, mentre il successivo trattamento dei dati personali è disciplinato dal regolamento (UE) 2016/679 (regolamento generale sulla protezione dei dati). Sebbene il consenso sia necessario per garantire il controllo da parte degli interessati, non sempre risulta essere la base giuridica più appropriata per il successivo trattamento dei dati, ad esempio quando tale trattamento è necessario per la prestazione di un servizio diverso da quello della società dell'informazione. Ciò ha determinato incertezza giuridica e costi di conformità più elevati per i titolari del trattamento che trattano dati personali ottenuti dalle apparecchiature terminali. Inoltre il duplice regime della direttiva e-privacy e del regolamento generale sulla protezione dei dati ha fatto sì che diverse autorità nazionali risultassero competenti a vigilare sul rispetto delle norme previste dai due quadri giuridici.
Per questi motivi, si propone di semplificare immediatamente l'interazione tra le norme applicabili. Il trattamento dei dati personali conservati nelle apparecchiature terminali o provenienti dalle stesse dovrebbe essere disciplinato solo dal regolamento (UE) 2016/679 (regolamento generale sulla protezione dei dati), che dovrebbe recepire anche l'obbligo chiaro in materia di consenso per poter accedere alle apparecchiature terminali di una persona fisica al momento della raccolta dei dati personali. Le modifiche proposte prevedono inoltre determinate finalità per le quali non dovrebbe essere necessario ottenere il consenso e il successivo trattamento dovrebbe essere considerato lecito, in particolare se presentano un rischio limitato per i diritti e le libertà degli interessati o se l'inserimento di tali tecnologie è necessario per la fornitura di un servizio richiesto dall'interessato.
Infine la proposta prevede la possibilità di fornire indicazioni riguardanti le scelte individuali che siano automatizzate e leggibili da dispositivo automatico e la necessità che tali indicazioni siano rispettate dai fornitori di siti web e applicazioni mobili e dai fornitori di applicazioni di telefonia mobile una volta che le norme saranno disponibili. Ciò si basa sulla modifica del 2009 della direttiva 2002/58/CE (direttiva e-privacy) (cfr. considerando 66 della direttiva 2009/136/CE), che ha già permesso di incoraggiare gli utenti a esprimere il loro consenso utilizzando le opportune impostazioni di un browser o di un'altra applicazione, qualora ciò si riveli tecnicamente possibile ed efficace, e sull'articolo 21, paragrafo 5, del regolamento (UE) 2016/679 (regolamento generale sulla protezione dei dati), nonché sulla proposta della Commissione del 2017 relativa a un regolamento sulla vita privata e le comunicazioni elettroniche (COM(2017) 10), in cui si è proposto che la gestione delle scelte degli utenti avvenga mediante le impostazioni del browser web. Tale proposta conferisce alla Commissione il potere di chiedere agli organismi di normazione di elaborare una serie di norme per la codifica di indicazioni automatizzate e leggibili da dispositivo automatico delle scelte degli interessati e la trasmissione di tali scelte dai browser ai siti web e dalle applicazioni di telefonia mobile ai servizi web. Una volta che tali norme saranno disponibili, e dopo un periodo di tolleranza di sei mesi, i titolari del trattamento che utilizzano siti web e applicazioni mobili per fornire i propri servizi sono tenuti a rispettare tali indicazioni automatizzate e leggibili da dispositivo automatico che sono state codificate. Qualora i titolari del trattamento garantiscano che i loro siti web o le loro applicazioni di telefonia mobile sono conformi a tali norme, dovrebbero beneficiare della presunzione di conformità. Su tale base, si prevede che anche i browser sviluppino impostazioni pertinenti. Le disposizioni sono formulate in modo tecnologicamente neutro affinché anche altri strumenti, ad esempio l'IA agentica, possano aiutare gli utenti a compiere scelte consensuali, qualora siano idonei a garantire il rispetto delle prescrizioni del GDPR. Considerando l'importanza dei flussi di entrate online per il giornalismo indipendente, quale pilastro indispensabile di una società democratica, i fornitori di servizi di media, come definiti nel regolamento (UE) 2024/1083 (regolamento europeo sulla libertà dei media) non dovrebbero essere tenuti a rispettare tali segnali e si dovrebbe consentire loro di interagire direttamente con gli utenti per informarli e permettere loro di compiere scelte consensuali.
Le modifiche proposte dal presente regolamento consentiranno di introdurre un punto di accesso unico attraverso il quale i soggetti potranno adempiere contemporaneamente agli obblighi di segnalazione degli incidenti previsti da molteplici atti giuridici. Promuovendo il principio "segnala una volta, condividi molte volte", il punto di accesso unico ridurrà gli oneri amministrativi, garantendo nel contempo un flusso efficace e sicuro di informazioni sugli incidenti di sicurezza da trasmettere ai destinatari definiti nelle rispettive normative.
La proposta stabilisce l'obbligo per l'ENISA di istituire tale punto di accesso unico, tenendo conto della piattaforma unica di segnalazione per le notifiche riguardo alle vulnerabilità attivamente sfruttate e agli incidenti gravi a norma del regolamento (UE) 2024/2847 (regolamento sulla ciberresilienza). Tale proposta prevede che lo strumento summenzionato soddisfi requisiti specifici, affinché possa diventare un canale sicuro di trasmissione delle informazioni segnalate e trasmesse alle autorità competenti. Lascia invariati gli obblighi giuridici di base per la segnalazione degli incidenti, ma ottimizza notevolmente il flusso di lavoro e le risorse richieste alle entità.
La proposta prevede inoltre l'utilizzo del punto di accesso unico per soddisfare una serie di obblighi di segnalazione degli incidenti strettamente interconnessi di cui alla direttiva (UE) 2022/2555 (direttiva NIS 2), al regolamento (UE) 2016/679 (GDPR), al regolamento (UE) 2022/2554 (DORA), al regolamento (UE) n. 910/2014 (regolamento eIDAS) e alla direttiva (UE) 2022/2557 (direttiva CER). Anche altri obblighi di segnalazione settoriali, come quelli stabiliti nel quadro del codice di rete per gli aspetti di cibersicurezza dei flussi transfrontalieri di energia elettrica e dei pertinenti strumenti per il settore dell'aviazione, saranno riuniti sotto un punto di accesso unico mediante la modifica degli atti delegati e di esecuzione che stabiliscono gli obblighi di segnalazione nell'ambito di tali quadri.
La proposta mira inoltre a semplificare il contenuto delle informazioni comunicate introducendo deleghe di potere per diversi atti giuridici, laddove non esistano. La proposta chiarisce che, nell'elaborare modelli comuni di segnalazione per le direttiva (UE) 2022/2555 e (UE) 2022/2557 o il regolamento (UE) 2016/679, al fine di garantire la coerenza, promuovere sinergie e ridurre gli oneri amministrativi riducendo al minimo il numero di campi di dati da completare, la Commissione dovrebbe tenere debitamente conto dell'esperienza acquisita e dei modelli comuni elaborati a norma del regolamento (UE) 2022/2554 (DORA).
Oltre a queste modifiche fondamentali, la proposta coglie l'occasione per abrogare il regolamento (UE) 2019/1150 del Parlamento europeo e del Consiglio, del 20 giugno 2019, che promuove equità e trasparenza per gli utenti commerciali dei servizi di intermediazione online (regolamento sulle relazioni piattaforme-imprese o regolamento P2B). Tale regolamento è applicato dal 12 luglio 2020 e ha costituito il primo passo verso la creazione di un quadro giuridico globale per l'economia delle piattaforme. Dalla sua entrata in applicazione sono stati adottati altri atti del diritto dell'UE volti a disciplinare i servizi di intermediazione online e le piattaforme online, come il regolamento (UE) 2022/1925 (regolamento sui mercati digitali) e il regolamento (UE) 2022/2065 (regolamento sui servizi digitali), le cui disposizioni prevalgono ampiamente su quelle del regolamento P2B. Alcune disposizioni del regolamento P2B rimarranno in vigore al fine di garantire la certezza del diritto per gli atti contenenti riferimenti incrociati a tali disposizioni, ad esempio la direttiva (UE) 2024/2831 relativa al miglioramento delle condizioni di lavoro nel lavoro mediante piattaforme digitali. In generale, la semplificazione del quadro normativo per le piattaforme online ridurrà i costi di conformità dovuti alla stratificazione di norme che si sovrappongono, come richiesto dai portatori di interessi. I prestatori di servizi intermediari online potranno trarre beneficio dalla maggiore chiarezza delle disposizioni giuridiche e l'applicazione delle norme sarà più mirata.
•Coerenza con le disposizioni vigenti nel settore normativo interessato
La presente proposta e quella di modifica del regolamento (UE) 2024/1689 (regolamento sull'IA) fanno entrambe parte del pacchetto omnibus digitale e rappresentano il primo passo immediato verso la semplificazione del corpus normativo sul digitale. Oltre al pacchetto omnibus digitale, la proposta di revisione del regolamento (UE) 2019/881 (regolamento sulla cibersicurezza) prevederà, tra l'altro, aggiornamenti riguardanti il mandato dell'Agenzia dell'Unione europea per la cibersicurezza (ENISA) e misure volte a semplificare la conformità ai requisiti di cibersicurezza.
Il pacchetto omnibus digitale fa parte di una più ampia strategia di semplificazione normativa annunciata attraverso il pacchetto digitale, illustrata più dettagliatamente nella sezione introduttiva della presente relazione.
•Coerenza con le altre normative dell'Unione
La proposta fa parte dell'agenda della Commissione finalizzata alla semplificazione del quadro normativo dell'UE. L'ampia portata degli atti modificati dimostra il chiaro potenziale di semplificazione derivante dalla possibilità di affrontare l'interazione tra norme diverse, anche quando riguardano settori strategici differenti. È il caso, ad esempio, della soluzione digitale di semplificazione sviluppata nel quadro del punto di accesso unico per la segnalazione degli incidenti, che lascia impregiudicati gli obblighi normativi sottostanti, ma riunisce nella stessa interfaccia le norme in materia di cibersicurezza che si applicano ai soggetti essenziali, quelle applicabili al settore finanziario, le norme in materia di protezione dei dati e così via.
2.BASE GIURIDICA, SUSSIDIARIETÀ E PROPORZIONALITÀ
•Base giuridica
La proposta si basa sugli articoli 114 e 16 del trattato sul funzionamento dell'Unione europea, che costituiscono la base giuridica degli atti modificati. La base giuridica appropriata per le disposizioni che modificano il regolamento (UE) 2016/679 (regolamento generale sulla protezione dei dati) e il regolamento (UE) 2018/1725 è l'articolo 16 del trattato. Poiché tutti gli altri atti modificati si basano sull'articolo 114 del trattato, la stessa base giuridica è appropriata anche per le corrispondenti disposizioni modificative del presente regolamento.
•Sussidiarietà (per la competenza non esclusiva)
Dato che le norme modificate sono norme dell'Unione, la modifica può avvenire solo a livello dell'Unione. Gli adeguamenti tecnici illustrati nel presente regolamento garantiscono il rispetto della logica di sussidiarietà che è alla base degli atti modificati.
Per quanto riguarda il regolamento (UE) 2023/2854 (regolamento sui dati), le modifiche rafforzano l'obiettivo del regolamento di eliminare gli ostacoli nel mercato unico per creare un'economia basata sui dati, inserendo nel regolamento le norme esistenti. Le modifiche mirate apportate a tali norme intendono semplificare, fornire chiarezza e ridurre gli oneri amministrativi sia per il settore privato che per le autorità nazionali, e non interferiscono con le competenze degli Stati membri o delle istituzioni dell'UE.
Lo stesso vale per l'abrogazione della direttiva (UE) 2019/1024 (direttiva sull'apertura dei dati), in quanto le norme sostanziali in essa contenute sono incorporate nel regolamento (UE) 2023/2854 (normativa sui dati) senza modificare in maniera significativa le competenze attribuite agli Stati membri. Una parte consistente dei dati del settore pubblico è attualmente già soggetta al regolamento di esecuzione (UE) 2023/138, direttamente applicabile, relativo alle serie di dati di elevato valore. La trasformazione in regolamento renderà più semplice l'applicazione uniforme delle modifiche proposte in tutti gli Stati membri e sosterrà in particolare le amministrazioni pubbliche che detengono dati del settore pubblico, così come i riutilizzatori di tali dati, razionalizzando i processi e riducendo gli oneri amministrativi associati all'interpretazione e all'attuazione di diverse normative nazionali. È probabile che venga garantita un'applicazione più coerente di norme direttamente applicabili. La proposta non modifica i regimi di accesso nazionali e mira ad assicurare sufficiente flessibilità per soluzioni nazionali, una prerogativa sottolineata dagli Stati membri.
Per quanto riguarda il regolamento (UE) 2016/679 (regolamento generale sulla protezione dei dati) e il regolamento (UE) 2018/1725, le modifiche proposte mirano a garantire chiarezza e prevedibilità nell'applicazione delle norme vigenti e a ridurre gli oneri amministrativi, ove possibile, senza compromettere l'elevato livello di protezione dei dati assicurato da tali regolamenti. Analogamente, lasciano invariate le competenze degli Stati membri, nonché degli organi e delle istituzioni dell'UE.
Con l'introduzione del punto di accesso unico per la segnalazione degli incidenti, si propone una soluzione a livello europeo per fornire un unico canale tramite cui assicurare il rispetto dei molteplici obblighi giuridici imposti alle imprese per segnalare essenzialmente lo stesso incidente. Tale soluzione non modifica in alcun modo i diritti e le competenze delle autorità nazionali nella ricezione di tali segnalazioni, ma, al contrario, incentiva la segnalazione creando un punto di accesso unico dotato di un'interfaccia di facile utilizzo tramite cui presentare apparentemente una sola segnalazione, che tuttavia permette di rispettare contemporaneamente molteplici obblighi giuridici. Dato che molti dei servizi in questione sono forniti a livello transfrontaliero e i prestatori sono presenti in più Stati membri, è necessaria una soluzione europea.
•Proporzionalità
La proposta comprende le modifiche tecniche necessarie per conseguire gli obiettivi di riduzione degli oneri amministrativi e di chiarezza normativa, preservando e ottimizzando nel contempo gli obiettivi fondamentali della normativa modificata. Tali modifiche sono proporzionate, in quanto impongono alle imprese e alle autorità costi di transizione e di adattamento trascurabili, ammesso che ve ne siano, assicurando un elevato rendimento negli anni a venire grazie al risparmio sui costi.
Molte delle modifiche illustrate nel presente regolamento perseguono l'obiettivo di semplificazione garantendo prima di tutto certezza del diritto e chiarendo l'applicazione delle norme, ad esempio fornendo chiarimenti ai titolari dei dati sulla tutela dei segreti commerciali di cui al regolamento (UE) 2023/2854 (regolamento sui dati), oppure chiarimenti sull'addestramento dei modelli e dei sistemi di IA che comprendono dati personali disciplinati dal regolamento (UE) 2016/679 (regolamento generale sulla protezione dei dati) o sul concetto di dati personali di cui al regolamento (UE) 2016/679 (regolamento generale sulla protezione dei dati) e al regolamento (UE) 2018/1725. Alcune disposizioni mirano a codificare le interpretazioni della Corte di giustizia dell'Unione europea, ad esempio per quanto riguarda la pseudonimizzazione dei dati personali ulteriormente chiarita nel regolamento (UE) 2016/679 (regolamento generale sulla protezione dei dati). Per questo motivo includono modifiche molto mirate delle norme, prevedendo nel contempo di ottenere un impatto elevato nel garantire la certezza del diritto alle imprese e agli investitori.
Le modifiche proposte nel presente regolamento mirano inoltre a ridurre i costi diretti per le imprese e le autorità, osservando che gli stessi obiettivi normativi possono essere conseguiti prevedendo oneri inferiori e garantendo la proporzionalità delle norme. Ad esempio, il regime obbligatorio per la fornitura di servizi di intermediazione dei dati di cui al regolamento (UE) 2022/868 (regolamento sulla governance dei dati) è stato trasformato nel regolamento (UE) 2023/2854 (regolamento sui dati) in un regime volontario, volto ad accrescere la fiducia in tali servizi.
Con l'estensione alle piccole imprese a media capitalizzazione di talune disposizioni applicabili alle piccole e medie imprese, le misure di semplificazione sono mirate e modificano in misura limitata la portata di tali obblighi, garantendo nel contempo la certezza del diritto a una gamma più ampia di imprese che presentano un elevato potenziale di sostegno alla competitività dell'UE. Le proposte si limitano alle modifiche necessarie a garantire che le piccole imprese a media capitalizzazione traggano beneficio dal medesimo quadro giuridico applicabile alle PMI.
Il punto di accesso unico per la segnalazione degli incidenti e la notifica delle violazioni dei dati consente notevoli risparmi per le imprese in termini di costi e permette al contempo di risolvere il problema più generale riguardante l'insufficienza delle segnalazioni. Non si tratta solo di una soluzione proporzionata, ma anche di una soluzione chiave di semplificazione che, attraverso uno strumento digitale, assicuri l'efficacia degli obblighi di segnalazione garantiti dal punto di accesso.
L'abrogazione del regolamento (UE) 2019/1150 (regolamento P2B) è necessaria al fine di evitare la duplicazione delle norme; il regolamento ha soltanto un valore marginale e, in vista dell'approccio normativo proporzionato che si intende impiegare per la regolamentazione delle piattaforme online, è necessario evitare la duplicazione degli obblighi.
•
Scelta dell'atto giuridico
Le modifiche sono proposte mediante un regolamento, data la natura delle norme modificate. In caso di modifica delle direttive, le disposizioni si applicano agli organismi europei o apportano modifiche mirate, in particolare per eliminare le disposizioni ulteriormente approfondite nei regolamenti.
3.RISULTATI DELLE VALUTAZIONI EX POST, DELLE CONSULTAZIONI DEI PORTATORI DI INTERESSI E DELLE VALUTAZIONI D'IMPATTO
•Valutazioni ex post / Vaglio di adeguatezza della legislazione vigente
La maggior parte delle normative oggetto della presente proposta è relativamente recente ed è soggetta a una valutazione continua dei risultati. Le principali osservazioni sono sintetizzate nel documento di lavoro dei servizi della Commissione che accompagna la presente relazione.
Costituisce un'eccezione la revisione preliminare del 2023 del regolamento (UE) 2019/1150 (regolamento sulle relazioni piattaforme/imprese (P2B). La relazione ha osservato effetti positivi iniziali per quanto riguarda, ad esempio, la trasparenza contrattuale per gli utenti commerciali e il giusto processo nella gestione dei reclami, ma ha anche evidenziato una mancanza di consapevolezza sia tra gli utenti commerciali sia tra i fornitori di servizi di intermediazione online e di motori di ricerca online in merito ai rispettivi diritti e obblighi a norma del regolamento (UE) 2019/1150 (regolamento P2B). Ciò è stato accompagnato anche da un'insufficiente conformità al regolamento (UE) 2019/1150 (regolamento P2B), che è stata la causa della sua mancata attuazione. Fino al 2023 sono stati ricevuti pochissimi reclami a norma del regolamento (UE) 2019/1150 (regolamento P2B). La relazione ha concluso che "[in quel momento] il pieno potenziale del regolamento P2B non [risultava] [...] realizzato". Nel frattempo il regolamento (UE) 2022/2065 (regolamento sui servizi digitali) e il regolamento (UE) 2022/1925 (regolamento sui mercati digitali) hanno iniziato ad applicarsi pienamente e le loro disposizioni hanno ampiamente prevalso su quelle del regolamento (UE) 2019/1150 (regolamento P2B).
•Consultazioni dei portatori di interessi
In fase di elaborazione della proposta sono state condotte diverse consultazioni, ognuna delle quali è stata concepita in modo che tali consultazioni fossero complementari tra di loro, affrontassero diverse tematiche o si rivolgessero a gruppi di portatori di interessi differenti.
Nella primavera del 2025 sono stati pubblicati tre consultazioni pubbliche e inviti a presentare contributi sui pilastri fondamentali della proposta. La consultazione sulla strategia per l'IA applicata si è svolta dal 9 aprile al 4 giugno, l'altra riguardante la revisione del regolamento (UE) 2019/881 (regolamento sulla cibersicurezza) dall'11 aprile al 20 giugno e infine quella relativa alla strategia europea per l'Unione dei dati dal 23 maggio al 20 luglio. Ciascun questionario conteneva una sezione (o a volte più di una) dedicata alle questioni riguardanti l'attuazione e la semplificazione, direttamente correlate alle riflessioni relative al pacchetto omnibus digitale. Nel complesso, durante questo primo ciclo di consultazioni sono pervenute 718 risposte.
È stato inoltre pubblicato un invito a presentare contributi sul pacchetto omnibus digitale, rimasto aperto dal 16 settembre al 14 ottobre 2025, il cui obiettivo era dare ai portatori di interessi l'opportunità di presentare osservazioni su una proposta consolidata relativa all'ambito di applicazione del pacchetto omnibus digitale. Sono pervenute 513 risposte, presentate da diversi gruppi di portatori di interessi, tra cui le imprese e le associazioni di imprese, la società civile, il mondo accademico, le autorità e i singoli cittadini.
La vicepresidente esecutiva Henna Virkkunen ha invitato i portatori di interessi a partecipare a due dialoghi in materia di attuazione sui temi chiave affrontati nel pacchetto omnibus digitale: il primo riguardante la politica in materia di dati (1º luglio 2025) e il secondo sulla politica in materia di cibersicurezza (15 settembre).
Il commissario McGrath ha invitato i portatori di interessi a partecipare a un dialogo in materia di attuazione riguardante l'applicazione del regolamento generale sulla protezione dei dati (16 luglio 2025).
I servizi della Commissione hanno inoltre effettuato diverse "verifiche fattuali" tramite l'organizzazione, tra il 15 settembre e il 6 ottobre 2025, di gruppi di riflessione che hanno visto la partecipazione di imprese e di rappresentanti della società civile al fine di discutere quali fossero i problemi pratici in termini di attuazione incontrati quotidianamente e stimare i costi di conformità.
Al fine di consultare specificamente le piccole e medie imprese (PMI) e raccogliere i loro riscontri, tra il 4 settembre e il 16 ottobre 2025 è stato organizzato il gruppo PMI attraverso la rete Enterprise Europe (EEN).
Infine i servizi della Commissione hanno ricevuto numerosi documenti di sintesi, hanno organizzato riunioni bilaterali con una serie di portatori di interessi e si sono confrontati con gli Stati membri in occasione di tavole rotonde o nell'ambito di vari gruppi di lavoro del Consiglio.
Nel complesso i portatori di interessi hanno concordato sulla necessità di applicare in modo semplificato alcune norme digitali, nonché di porre l'accento sulla coerenza e sul consolidamento delle norme, così come sull'ottimizzazione dei costi di conformità.
È stato espresso un chiaro invito a razionalizzare l'acquis in materia di dati e a consolidare le norme. Tale aspetto è stato affrontato nella proposta, insieme alla questione relativa alle modifiche mirate sostenute dai portatori di interessi, riguardanti il regolamento generale sulla protezione dei dati e la problematica della "stanchezza da consenso" dovuta alla presenza di cookie banner. Le imprese hanno inoltre evidenziato la necessità di ulteriori valutazioni dell'interazione tra le norme in materia di dati che giustificano il ricorso a un'analisi più approfondita attraverso gli strumenti della strategia "Legiferare meglio", in particolare l'imminente controllo dell'adeguatezza digitale.
Le imprese di diversi settori hanno inoltre sottolineato la presenza di oneri ingiustificati derivanti dalla doppia segnalazione di incidenti nell'ambito di molteplici quadri giuridici. In seguito all'invito di tali imprese a intervenire a tal proposito, è stata proposta l'istituzione di un punto di accesso unico per la segnalazione degli incidenti.
Per quanto riguarda il regolamento sull'intelligenza artificiale, i portatori di interessi hanno sottolineato la necessità di garantire la certezza del diritto nell'applicazione delle norme e, in particolare, di stabilire standard e orientamenti prima dell'applicazione delle norme. La proposta legislativa distinta presentata nel quadro del pacchetto omnibus digitale risponde alle preoccupazioni da essi esposte.
Infine i portatori di interessi non si sono espressi in merito all'impatto del regolamento sulle relazioni piattaforme/imprese, e ciò conferma i risultati della relazione di valutazione intermedia secondo cui le norme non sono né ben note né efficaci nel conseguire il loro obiettivo. Il presente regolamento propone l'abrogazione delle norme previste dal regolamento summenzionato, in particolare alla luce del fatto che esse si sovrappongono con norme più recenti.
Una panoramica dettagliata di tali consultazioni dei portatori di interessi e del modo in cui sono state prese in considerazione nella proposta è disponibile nel documento di lavoro dei servizi della Commissione che accompagna il pacchetto omnibus digitale.
•Assunzione e uso di perizie
Oltre ai cicli di consultazione summenzionati, ai fini della presente proposta la Commissione si è basata principalmente sull'analisi interna. Sono stati inoltre commissionati due studi a sostegno dell'analisi dei capitoli della proposta relativi ai dati. Il primo si è concentrato sull'attuazione del regolamento (UE) 2018/1807 (regolamento sulla libera circolazione dei dati non personali), della direttiva (UE) 2019/1024 (direttiva sull'apertura dei dati) e del regolamento (UE) 2022/868 (regolamento sulla governance dei dati). Il secondo studio, più strettamente collegato alla comunicazione sulla strategia per l'Unione dei dati (adottata nell'ambito dello stesso pacchetto di semplificazione insieme al pacchetto omnibus digitale), si è concentrato sugli sviluppi della politica in materia di dati connessi all'IA generativa, alla conformità normativa e alla dimensione internazionale. Entrambi gli studi sono in fase di completamento e saranno pubblicati in una fase successiva.
I servizi della Commissione hanno inoltre condotto uno studio sull'interazione tra il regolamento (UE) 2022/2065 (regolamento sui servizi digitali) e altri atti legislativi, tra cui il regolamento (UE) 2019/1150 (regolamento P2B). La Commissione pubblicherà, nell'ambito del pacchetto digitale, la relazione che descrive l'interazione tra il regolamento (UE) 2022/2065 (regolamento sui servizi digitali) e altre norme correlate, conformemente all'obbligo di cui all'articolo 91 del medesimo regolamento.
•Valutazione d'impatto
Le modifiche proposte nel presente regolamento sono mirate e di natura tecnica, e sono finalizzate a garantire un'attuazione più efficiente delle norme. Non sono concepite in modo da prevedere più opzioni strategiche da sottoporre a verifiche specifiche e da confrontare e, in linea con gli orientamenti per legiferare meglio, non sono corroborate da una relazione completa sulla valutazione d'impatto.
Il documento di lavoro dei servizi della Commissione allegato fornisce un approfondimento riguardante la logica di intervento alla base delle modifiche e le opinioni dei portatori di interessi sulle diverse misure, e presenta l'analisi costi-benefici delle proposte, che indica, tra le altre cose, i risparmi generati in termini di costi e altri tipi di impatti. In molti casi si basa sulle valutazioni d'impatto originariamente effettuate per i diversi atti.
•Efficienza normativa e semplificazione
La proposta di regolamento prevede una notevole riduzione degli oneri per le imprese, le pubbliche amministrazioni e i cittadini. Secondo le stime iniziali, dal momento dell'entrata in vigore potrebbe essere risparmiato almeno 1 miliardo di EUR all'anno, con ulteriori risparmi pari a 1 miliardo di EUR in costi una tantum, per un totale di almeno 5 miliardi di EUR in tre anni entro il 2029. Si prevedono in larga misura anche benefici non quantificabili, in particolare grazie alla semplificazione di una serie di norme che renderà più agevole il loro coinvolgimento e la conformità alle stesse. I calcoli escludono anche le opportunità commerciali create dall'approccio normativo proposto.
Sebbene le PMI siano già esentate dall'applicazione di una serie di disposizioni degli atti giuridici modificati nel quadro del pacchetto omnibus digitale, sono proposte ulteriori misure di sostegno per quanto riguarda il passaggio ad altri servizi cloud. Nell'ambito del capitolo sulle norme armonizzate in materia di condivisione dei dati, alcune esenzioni già previste per le PMI sono estese alle piccole imprese a media capitalizzazione.
La proposta è inoltre pienamente coerente con la "verifica digitale" della Commissione, volta a garantire che le proposte politiche siano adeguatamente allineate con gli ambienti digitali. Maggiori dettagli al riguardo sono disponibili nel capitolo 4 allegato della scheda finanziaria e digitale legislativa.
•Diritti fondamentali
Le modifiche proposte permettono alle imprese di avere maggiori opportunità di innovazione nel mercato unico e promuovono in tal modo il diritto alla libertà d'impresa nell'Unione.
Alcune disposizioni riguardano anche la tutela e la promozione di altri diritti fondamentali, in particolare il diritto alla vita privata e alla protezione dei dati personali, e sono state studiate per garantire il livello di protezione più elevato e l'esercizio effettivo dei diritti, ottimizzando nel contempo i costi e creando ulteriori opportunità di innovazione. In tal modo la proposta rispetta rigorosamente il principio di proporzionalità sancito dall'articolo 52 della Carta.
Nel caso specifico delle modifiche mirate del regolamento (UE) 2016/679 (regolamento generale sulla protezione dei dati) e del regolamento (UE) 2018/1725, le modifiche proposte semplificherebbero le prescrizioni riguardanti il trattamento a basso rischio, armonizzerebbero determinate norme e chiarirebbero alcuni concetti chiave dei medesimi regolamenti, consentendo ai titolari del trattamento di attuare politiche più efficaci in materia di protezione dei dati. Ciò consentirebbe loro di concentrare le risorse su attività ad alta intensità di dati e ad alto rischio per le quali le misure di protezione dei dati personali rivestono un'importanza maggiore.
Per quanto riguarda la riservatezza delle comunicazioni, la proposta garantisce il più elevato livello di protezione, compresa la possibilità di accedere alle apparecchiature terminali solo previo consenso. La modifica della direttiva 2002/58/CE (direttiva e-privacy) non altera le tutele sostanziali e permette l'allineamento delle norme per il trattamento dei dati personali conservati nelle apparecchiature terminali o provenienti dalle stesse con quelle del regolamento (UE) 2016/679 (regolamento generale sulla protezione dei dati). Le norme sull'integrità delle apparecchiature terminali ai sensi della direttiva sono mantenute in caso di trattamento di dati non personali.
4.INCIDENZA SUL BILANCIO
L'incidenza sul bilancio dell'istituzione e della gestione del punto di accesso unico per la segnalazione di incidenti da parte dell'Agenzia dell'Unione europea per la cibersicurezza (ENISA) è illustrata in dettaglio nella revisione del regolamento (UE) 2019/881 (regolamento sulla cibersicurezza), nella parte riguardante le risorse dell'ENISA.
5.ALTRI ELEMENTI
•Piani attuativi e modalità di monitoraggio, valutazione e informazione
•Illustrazione dettagliata delle singole disposizioni della proposta
Modifiche del regolamento (UE) 2023/2854 (regolamento sui dati)
Le modifiche del quadro giuridico in materia di dati consolidano nel regolamento (UE) 2023/2854 (regolamento sui dati), in modo fortemente semplificato, le disposizioni del regolamento (UE) 2018/1807 (regolamento sulla libera circolazione dei dati), del regolamento (UE) 2022/868 (regolamento sulla governance dei dati) e della direttiva (UE) 2019/1024 (direttiva sull'apertura dei dati). Il capo I comprende anche modifiche mirate per adeguare le norme vigenti del regolamento (UE) 2023/2854 (regolamento sui dati).
L'articolo 1 comprende le modifiche del regolamento (UE) 2023/2854 riguardante norme armonizzate sull'accesso equo ai dati e sul loro utilizzo e che modifica il regolamento (UE) 2017/2394 e la direttiva (UE) 2020/1828 (regolamento sui dati).
Articolo 1
Il punto 1) aggiorna l'ambito di applicazione del regolamento (UE) 2023/2854 (regolamento sui dati), in cui saranno inseriti nuovi capi, come spiegato di seguito.
Il punto 2) modifica le definizioni e ne inserisce di nuove.
Il punto 3) introduce una nuova norma nel quadro dell'articolo 4, paragrafo 8, del regolamento (UE) 2023/2854 (regolamento sui dati) che consente ai titolari dei dati di rifiutare la divulgazione di segreti commerciali a un utente qualora vi sia un elevato rischio di acquisizione, utilizzo o divulgazione illeciti a paesi terzi, o entità sottoposte al loro controllo, che sono soggetti a giurisdizioni con tutele inferiori a quelle disponibili nell'Unione.
Il punto 5) introduce la stessa norma prevista all'articolo 5, paragrafo 11, del regolamento (UE) 2023/2854 (regolamento sui dati) riguardante la divulgazione di segreti commerciali a terzi da parte di titolari dei dati.
I punti da 5) a 19) restringono l'ambito di applicazione del capo V alle sole "emergenze pubbliche", senza fare riferimento alle "necessità eccezionali". Sopprimono gli articoli 14 e 15 e creano l'articolo 15 bis, che diventa l'unico articolo sulla base del quale è possibile effettuare richieste durante le emergenze pubbliche nel quadro del regime B2G del regolamento (UE) 2023/2854 (regolamento sui dati). Le richieste possono essere presentate quando sono necessarie per rispondere a un'emergenza pubblica (articolo 15 bis, paragrafo 2) oppure per attenuarla o sostenere la ripresa da un'emergenza pubblica (articolo 15 bis, paragrafo 3). I riferimenti incrociati sono adeguati di conseguenza e il linguaggio è semplificato ed è reso più chiaro. L'articolo 1, punto 21), crea l'articolo 22 bis che definisce il regime riguardante i reclami nel quadro del capo V, accorpando le disposizioni precedentemente ripetute.
I punti da 20) a 22) prevedono alcune deroghe al capo VI del regolamento (UE) 2023/2854 (regolamento sui dati) (passaggio tra servizi di trattamento dei dati): all'articolo 31 è inserito un regime specifico semplificato per i servizi di trattamento dei dati personalizzati, ossia per quei servizi che non sono predefiniti e che non funzionerebbero se in precedenza non fossero adattati alle necessità e all'ecosistema dell'utente, qualora siano forniti sulla base di contratti conclusi prima del 12 settembre 2025. Analogamente, all'articolo 31 è inserito un nuovo regime specifico semplificato per i servizi di trattamento dei dati forniti dalle PMI e dalle piccole imprese a media capitalizzazione sulla base di contratti conclusi prima del 12 settembre 2025, accompagnato da un chiarimento sul fatto che tali fornitori possono includere tariffe di risoluzione anticipata nei contratti di durata fissa.
I punti da 23) a 25) comprendono modifiche dell'articolo 32 del regolamento (UE) 2023/2854 (regolamento sui dati) derivanti dall'integrazione degli organismi attualmente disciplinati dal regolamento (UE) 2022/868 (regolamento sulla governance dei dati) nel regolamento (UE) 2023/2854 (regolamento sui dati).
Il punto 26) elimina l'obbligo per i fornitori di contratti intelligenti di rispettare i requisiti essenziali conferendo alla Commissione il potere di adottare norme armonizzate.
Il punto 27) integra due regimi giuridici attualmente previsti dal regolamento (UE) 2022/868 (regolamento sulla governance dei dati), che sarà abrogato una volta entrato in vigore il pacchetto omnibus. Questo punto riforma le attuali norme di cui ai capi III e IV del regolamento sulla governance dei dati, che prevedono un regime di notifica obbligatorio per i fornitori di servizi di intermediazione dei dati e un regime di registrazione volontario per le organizzazioni per l'altruismo dei dati. I due regimi saranno inseriti nel regolamento (UE) 2023/2854 (normativa sui dati) nel quadro del nuovo capo VII bis. Dato che il mercato dei servizi di intermediazione dei dati sta assumendo proporzioni sempre più ampie, gli obblighi di cui al regolamento (UE) 2022/868 (regolamento sulla governance dei dati) devono essere resi più flessibili per permettere a tale mercato di crescere. In primo luogo, il regime a cui sono soggetti i fornitori di servizi di intermediazione dei dati deve diventare volontario. In secondo luogo, l'obbligo più stringente, ossia quello di mantenere i servizi di intermediazione dei dati giuridicamente separati da qualsiasi altro servizio che un'impresa potrebbe voler offrire, sarà sostituito dall'obbligo di mantenere i servizi separati dal punto di vista funzionale, che sarà accompagnato da una serie aggiuntiva di condizioni. Infine, l'elenco degli obblighi è drasticamente ridotto. Per quanto riguarda l'altruismo dei dati, gli obblighi di comunicazione e trasparenza a cui sono soggette le organizzazioni per l'altruismo dei dati sono abrogati, così come è stata abbandonata l'idea di integrare le norme del regolamento (UE) 2022/868 (regolamento sulla governance dei dati) in un "codice sull'altruismo dei dati" con norme ancora più dettagliate.
Il punto introduce il nuovo capo VII ter in base al quale il divieto di imporre obblighi in materia di localizzazione dei dati non personali nell'Unione, precedentemente contenuto nel regolamento (UE) 2018/1807 (regolamento sulla libera circolazione dei dati non personali), che sarà abrogato, è inserito nel regolamento (UE) 2023/2854 (regolamento sui dati). L'obbligo di notifica alla Commissione è mantenuto, ma è abolito il portale unico nazionale online nel quale gli Stati membri dovrebbero pubblicare gli obblighi applicabili in materia di localizzazione dei dati.
Il punto 4) e i punti da 33) a 58) introducono le disposizioni unificate sul riutilizzo dei dati e dei documenti detenuti da enti pubblici di cui al capo II del regolamento (UE) 2022/868 (regolamento sulla governance dei dati) e della direttiva (UE) 2019/1024 (direttiva sull'apertura dei dati).
·Il punto 4) introduce definizioni tratte dalle disposizioni inserite nel regolamento (UE) 2023/2854 (regolamento sui dati) e permette di armonizzare la definizione di dati e documenti operando una rigorosa distinzione tra contenuto digitale (dati) e non digitale (documenti).
·Introduce il nuovo capo VII quater sul riutilizzo dei dati e dei documenti detenuti dagli enti pubblici.
·Introduce la nuova sezione 1, che presenta i principi generali applicabili al nuovo capo inserito.
·Introduce l'oggetto e l'ambito di applicazione del capo risultante dalla combinazione delle norme comuni di cui al capo II del regolamento (UE) 2022/868 (regolamento sulla governance dei dati) e della direttiva (UE) 2019/1024 (direttiva sull'apertura dei dati).
·Stabilisce il principio comune di non discriminazione applicabile in caso di condivisione di dati aperti della pubblica amministrazione e di determinate categorie di dati protetti.
·Stabilisce il divieto di accordi di esclusiva, comuni nel quadro del regime che disciplina l'utilizzo di dati aperti della pubblica amministrazione e di determinate categorie di dati protetti.
·Stabilisce i principi generali relativi all'imposizione di tariffe per il riutilizzo di dati aperti della pubblica amministrazione o di determinate categorie di dati protetti. Questa nuova norma prevede che gli enti pubblici dovranno garantire che eventuali tariffe possano anche essere pagate online attraverso servizi di pagamento transfrontalieri ampiamente diffusi, senza che ciò comporti limitazioni per il riutilizzo dei dati aperti della pubblica amministrazione. Si tratta di un'estensione della norma precedentemente nota solo per il riutilizzo di determinate categorie di dati protetti ai sensi del capo II del regolamento (UE) 2022/868 (regolamento sulla governance dei dati).
·Prevede che i riutilizzatori di dati aperti della pubblica amministrazione e di determinate categorie di dati protetti abbiano il diritto di essere informati sui mezzi di ricorso disponibili in relazione a decisioni o pratiche che potrebbero danneggiarli.
·Inserisce una sezione sulle norme per il riutilizzo dei dati aperti della pubblica amministrazione, già previste dalla direttiva (UE) 2019/1024 (direttiva sull'apertura dei dati).
·Determina l'ambito di applicazione di questa sezione, prevedendo l'esclusione di determinate categorie di dati protetti che rientrano nell'ambito di applicazione del capo generale sul riutilizzo dei dati e dei documenti detenuti da enti pubblici.
·Stabilisce il principio generale per il riutilizzo dei dati aperti della pubblica amministrazione.
·Definisce le norme per il trattamento delle richieste di riutilizzo dei dati aperti della pubblica amministrazione, inserendo la precedente disposizione di cui alla direttiva (UE) 2019/1024 (direttiva sull'apertura dei dati).
·Introduce le norme sui formati disponibili per il riutilizzo dei dati aperti della pubblica amministrazione, precedentemente incluse nella direttiva (UE) 2019/1024 (direttiva sull'apertura dei dati).
·Introduce le norme che disciplinano l'imposizione di tariffe riguardanti i dati aperti della pubblica amministrazione, precedentemente disciplinata dalla direttiva (UE) 2019/1024 (direttiva sull'apertura dei dati). Secondo le nuove norme, gli enti pubblici possono applicare tariffe più elevate per il riutilizzo dei dati da parte di imprese molto grandi. Tali tariffe devono essere proporzionate e il loro importo deve basarsi su criteri oggettivi.
·Introduce norme sulle licenze standard per il riutilizzo dei dati aperti della pubblica amministrazione, precedentemente incluse nella direttiva (UE) 2019/1024 (direttiva sull'apertura dei dati). Secondo le nuove norme, gli enti pubblici possono prevedere condizioni particolari per le imprese molto grandi. Tali condizioni devono essere proporzionate e basate su criteri oggettivi.
·Introduce nel regolamento (UE) 2023/2854 (regolamento sui dati) le norme sulle modalità pratiche, precedentemente incluse nella direttiva (UE) 2019/1024 (direttiva sull'apertura dei dati), per facilitare la ricerca di dati o documenti messi a disposizione per poter essere riutilizzati.
·Introduce nel regolamento (UE) 2023/2854 (regolamento sui dati) le norme sui dati della ricerca precedentemente incluse nella direttiva (UE) 2019/1024 (direttiva sull'apertura dei dati).
·Introduce nel regolamento (UE) 2023/2854 (regolamento sui dati) le norme sulle serie di dati di elevato valore, precedentemente incluse nella direttiva (UE) 2019/1024 (direttiva sull'apertura dei dati).
·Crea una nuova sezione riguardante il riutilizzo di determinate categorie di dati protetti al fine di includere nel capo le precedenti norme di cui al capo II del regolamento (UE) 2022/868 (regolamento sulla governance dei dati). Il punto delinea l'ambito di applicazione di questa terza sezione, che esclude dal suo ambito di applicazione i dati e i documenti di cui alla seconda sezione, che riguarda il regime che disciplina il riutilizzo dei dati aperti della pubblica amministrazione. La nuova norma prevede che i documenti siano inclusi nell'ambito di applicazione di questa sezione.
·Stabilisce il principio generale relativo al riutilizzo di determinate categorie di dati protetti enunciato al capo II del regolamento (UE) 2022/868 (regolamento sulla governance dei dati), secondo cui la sezione non introduce l'obbligo per gli enti pubblici di consentire il riutilizzo di dati protetti, ma stabilisce piuttosto condizioni minime nel caso in cui gli enti pubblici decidano di mettere a disposizione tali dati affinché possano essere riutilizzati.
·Introduce in forma semplificata le norme sulle condizioni per il riutilizzo di determinate categorie di dati protetti, precedentemente incluse nel capo II del regolamento (UE) 2022/868 (regolamento sulla governance dei dati). Chiarisce quali sono le norme che si applicano nei casi in cui i dati personali siano stati resi anonimi. Le prescrizioni relative ai trasferimenti di dati non personali verso paesi terzi sono mantenute ma suddivise in un nuovo articolo al punto 54).
·Introduce nel regolamento (UE) 2023/2854 (regolamento sui dati) le norme relative all'imposizione di tariffe, che precedentemente facevano parte del capo II del regolamento (UE) 2022/868 (regolamento sulla governance dei dati). Secondo le nuove norme, gli enti pubblici possono prevedere tariffe più elevate per il riutilizzo dei dati da parte di imprese molto grandi. Tali tariffe devono essere proporzionate e basate su criteri oggettivi. L'attenzione particolare rivolta alla necessità di incentivare il riutilizzo dei dati da parte delle PMI è estesa alle piccole imprese a media capitalizzazione.
·Introduce nel regolamento (UE) 2023/2854 (regolamento sui dati) le norme riguardanti gli organismi competenti, che precedentemente facevano parte del capo II del regolamento (UE) 2022/868 (regolamento sulla governance dei dati). Gli organismi competenti sono designati ad aiutare gli enti pubblici a rispondere alle richieste di riutilizzo dei dati e dei documenti di cui alla sezione 3.
·Introduce nel regolamento (UE) 2023/2854 (regolamento sui dati) le norme relative allo sportello unico, che precedentemente facevano parte del capo II del regolamento (UE) 2022/868 (regolamento sulla governance dei dati). Gli sportelli unici sono concepiti per aiutare i riutilizzatori a trovare facilmente informazioni sul riutilizzo di determinate categorie di dati protetti.
·Introduce nel regolamento (UE) 2023/2854 (regolamento sui dati) le norme relative alla procedura per le richieste di riutilizzo di determinate categorie di dati protetti, precedentemente disciplinata dal capo II del regolamento (UE) 2022/868 (regolamento sulla governance dei dati).
Il punto 57) integra le norme di base riguardanti il comitato europeo per l'innovazione in materia di dati (EDIB), un gruppo che fornisce consulenza alla Commissione su come applicare in modo coerente il regolamento sui dati e che funge da forum di coordinamento per l'elaborazione di politiche nel settore dell'economia dei dati. Integrerà tali norme di base nel regolamento sui dati. Le modifiche apportate consentiranno alla Commissione di modificare i documenti costitutivi dell'EDIB (decisione della Commissione del 20 febbraio 2023 – C(2023) 1074 final) e di estendere la partecipazione ai rappresentanti dei responsabili che si occupano dell'elaborazione delle politiche nazionali oltre che alle autorità competenti.
I punti da 61) a 65) contengono modifiche delle disposizioni di cui al regolamento (UE) 2023/2854 (regolamento sui dati) sulla procedura di comitato e sul potere di delega, mentre il punto 66) contiene modifiche del regolamento (UE) 2022/868 (regolamento sulla governance dei dati) necessarie per introdurre le norme del regolamento (UE) 2022/868 (regolamento sulla governance dei dati) e della direttiva (UE) 2019/1024 (direttiva sull'apertura dei dati) nel regolamento (UE) 2023/2854 (regolamento sui dati).
Il punto 68) estende alle piccole imprese a media capitalizzazione la particolare attenzione rivolta alle PMI nel contesto della valutazione e il punto 69) introduce la valutazione delle nuove norme inserite nel regolamento (UE) 2023/2854 (regolamento sui dati).
L'articolo 2 introduce nel regolamento (UE) 2018/1724 i pertinenti riferimenti ai servizi di intermediazione dei dati e all'altruismo dei dati nell'allegato relativo all'avvio, alla gestione e alla chiusura di un'impresa.
Modifiche del regolamento (UE) 2016/679, del regolamento (UE) 2018/1725 e della direttiva 2002/58/CE
L'articolo 3 della proposta introdurrebbe modifiche mirate del regolamento (UE) 2016/679 ("regolamento generale sulla protezione dei dati").
Articolo 3
Il punto 1) chiarirebbe la definizione di dati personali di cui all'articolo 4 del regolamento (UE) 2016/679 (regolamento generale sulla protezione dei dati) affermando che le informazioni non devono essere considerate dati personali di un determinato soggetto quando non contengono elementi che possono essere ragionevolmente utilizzati per identificare la persona fisica cui si riferiscono. Di conseguenza, il soggetto menzionato non rientrerebbe, in linea di principio, nell'ambito di applicazione di tale regolamento.
Il punto 2) prevederebbe due ulteriori deroghe al trattamento di categorie particolari di dati: una deroga al divieto generale di trattamento dei dati biometrici quando ciò è necessario per confermare l'identità dell'interessato e quando i dati e i mezzi di tale verifica sono sotto il suo esclusivo controllo, nonché una deroga per il trattamento residuo di categorie particolari di dati personali per lo sviluppo e il funzionamento di un sistema di IA o di un modello di IA, a determinate condizioni, comprese misure organizzative e tecniche adeguate per evitare la raccolta di categorie particolari di dati personali e la rimozione di tali dati.
Il punto 3) chiarirebbe la situazione di cui all'articolo 12 del regolamento (UE) 2016/679 (regolamento generale sulla protezione dei dati) in cui il diritto di accesso è oggetto di abuso da parte degli interessati per finalità diverse dalla protezione dei loro dati personali. Di conseguenza, il titolare del trattamento potrebbe rifiutarsi di soddisfare la richiesta o addebitare un costo ragionevole. Inoltre chiarirebbe le condizioni per dimostrare che una richiesta di accesso era eccessiva.
Il punto 4) si concentrerebbe sull'obbligo del titolare del trattamento di informare gli interessati in merito al trattamento dei loro dati personali a norma dell'articolo 13 del regolamento (UE) 2016/679 (regolamento generale sulla protezione dei dati) eliminando tale obbligo nei casi in cui vi siano ragionevoli motivi per presumere che l'interessato disponga già delle informazioni, a meno che il titolare del trattamento non trasmetta i dati ad altri destinatari o categorie di destinatari, trasferisca i dati a un paese terzo, effettui un processo decisionale automatizzato o il trattamento possa presentare un rischio elevato per i diritti dell'interessato.
Il punto 5) chiarirebbe i requisiti riguardanti il processo decisionale automatizzato relativo alle persone fisiche di cui all'articolo 22 del regolamento (UE) 2016/679 (regolamento generale sulla protezione dei dati), nel contesto della conclusione o dell'esecuzione di un contratto tra l'interessato e un titolare del trattamento, in particolare che il requisito della "necessità" è indipendente dal fatto che la decisione possa essere adottata con mezzi diversi da quelli esclusivamente automatizzati.
Il punto 6) allineerebbe l'obbligo del titolare del trattamento di notificare le violazioni dei dati all'autorità di controllo competente a norma dell'articolo 33 del regolamento (UE) 2016/679 (regolamento generale sulla protezione dei dati) al suo obbligo di notificare tali violazioni agli interessati, stabilendo che la notifica è necessaria solo se la violazione dei dati può presentare un rischio elevato per i diritti dell'interessato. Estenderebbe inoltre il termine di notifica a 96 ore. Si propone inoltre che i titolari del trattamento utilizzino il punto di accesso unico quando notificano le violazioni dei dati all'autorità di controllo. Inoltre il comitato europeo per la protezione dei dati sarebbe tenuto a preparare e presentare alla Commissione una proposta di modello comune per la notifica delle violazioni dei dati, che la Commissione avrebbe il potere di adottare mediante un atto di esecuzione, dopo averlo riesaminato, se necessario.
Il punto 7) permetterebbe di armonizzare gli elenchi delle attività di trattamento che richiedono o meno una valutazione d'impatto sulla protezione dei dati, prevedendo che a livello dell'UE sia fornito un elenco unico delle operazioni di trattamento che richiedono o meno tale valutazione d'impatto, contribuendo in tal modo all'armonizzazione della nozione di rischio elevato. Il comitato europeo per la protezione dei dati sarebbe tenuto a preparare proposte in merito a tali elenchi. Esso sarebbe inoltre tenuto a elaborare una proposta relativa a un modello comune e a una metodologia comune per lo svolgimento delle valutazioni d'impatto sulla protezione dei dati, che la Commissione avrebbe il potere di adottare mediante un atto di esecuzione, dopo averli riesaminati, se necessario.
Il punto 8) stabilisce che la Commissione può aiutare, insieme al comitato europeo per la protezione dei dati, i titolari del trattamento a valutare se i dati risultanti dalla pseudonimizzazione non costituiscono dati personali, specificando i mezzi e i criteri pertinenti per tale valutazione, compresi lo stato dell'arte delle tecniche disponibili e i criteri per valutare il rischio di reidentificazione.
Il punto 12) riforma il regime giuridico che disciplina il trattamento dei dati personali conservati nelle apparecchiature terminali ("dispositivi connessi") o provenienti dalle stesse, attualmente parte della direttiva 2002/58/CE (direttiva e-privacy). Nel regolamento (UE) 2016/679 (regolamento generale sulla protezione dei dati) è inserito il nuovo articolo 88 bis, che prevede l'obbligo di richiedere il consenso per la conservazione dei dati personali nelle apparecchiature terminali delle persone fisiche o per l'accesso agli stessi e che rende il trattamento dei dati personali conservati in tali apparecchiature o provenienti dalle stesse soggetto alle norme di cui al regolamento (UE) 2016/679 (regolamento generale sulla protezione dei dati). Nel regolamento (UE) 2016/679 (regolamento generale sulla protezione dei dati) è inserito il nuovo articolo 88 ter riguardante le indicazioni automatizzate e leggibili da dispositivo automatico delle scelte individuali, che prevede il rispetto di tali indicazioni da parte dei fornitori di siti web una volta che le norme saranno disponibili.
Articolo 4
L'articolo 4 della proposta introdurrebbe modifiche mirate del regolamento (UE) 2018/1725 al fine di allinearne il contenuto alle modifiche del regolamento (UE) 2016/679 introdotte all'articolo 3.
Articolo 5
L'articolo 5 prevede modifiche della direttiva 2002/58/CE relativa alla vita privata e alle comunicazioni elettroniche ("direttiva e-privacy"). L'articolo 4 di tale direttiva è abrogato. Il comma aggiunto all'articolo 5, paragrafo 3, di tale direttiva consente di trasferire al regolamento (UE) 2016/679 (regolamento generale sulla protezione dei dati) le norme in materia di conservazione dei dati personali nelle apparecchiature terminali di una persona fisica e di accesso agli stessi, inserendo il nuovo articolo 88 bis del regolamento (UE) 2016/679 (regolamento generale sulla protezione dei dati) come descritto in precedenza.
Punto di accesso unico per la segnalazione di incidenti
Articolo 6
I punti 1) e 2) istituiscono il punto di accesso unico per la segnalazione degli incidenti, includendo obblighi specifici per l'ENISA. È inoltre stabilito che la segnalazione degli incidenti prevista dalla direttiva NIS 2 dovrebbe avvenire attraverso il nuovo punto di accesso unico.
Articolo 7 Il punto di accesso unico è obbligatorio anche per la segnalazione degli incidenti a norma del regolamento (UE) n. 910/2014 (regolamento eIDAS).
Articolo 8 Il punto di accesso unico è obbligatorio anche nel quadro del regolamento (UE) 2022/2554 (DORA).
Articolo 9 Il punto di accesso unico è obbligatorio anche nel quadro della direttiva (UE) 2022/2557 (CER).
Inoltre all'articolo 3, punto 6), si prevede che anche nel caso del regolamento (UE) 2016/679 (regolamento generale sulla protezione dei dati) la segnalazione degli incidenti relativi a violazioni dei dati debba avvenire attraverso il punto di accesso unico. All'articolo 5, punto 1), gli obblighi di segnalazione di cui alla direttiva 2002/58/CE (direttiva e-privacy) sono abrogati in quanto obsoleti alla luce delle disposizioni del regolamento (UE) 2016/679 (regolamento generale sulla protezione dei dati).
Abrogazione di atti e disposizioni finali
Articolo 10
Il punto 1) abroga il regolamento (UE) 2019/1150 (il regolamento P2B), ritenuto di pertinenza marginale alla luce delle recenti norme che riguardano in larga misura le stesse questioni. A titolo di deroga, il punto 2) riguarda eventuali riferimenti incrociati al regolamento (UE) 2019/1150 (regolamento P2B) in altri strumenti giuridici, che resteranno in applicazione fino a quando non saranno modificati negli atti originari, al più tardi entro il 31 dicembre 2032, al fine di evitare qualsiasi incertezza giuridica.
Il punto 3) abroga i testi giuridici integrati nel regolamento (UE) 2023/2854 (regolamento sui dati).
L'articolo 11 stabilisce le disposizioni finali del regolamento modificativo.
2025/0360 (COD)
Proposta di
REGOLAMENTO DEL PARLAMENTO EUROPEO E DEL CONSIGLIO
che modifica i regolamenti (UE) 2016/679, (UE) 2018/1724, (UE) 2018/1725 e (UE) 2023/2854 e le direttive 2002/58/CE, (UE) 2022/2555 e (UE) 2022/2557 per quanto riguarda la semplificazione del quadro legislativo nel settore digitale e che abroga i regolamenti (UE) 2018/1807, (UE) 2019/1150 e (UE) 2022/868 e la direttiva (UE) 2019/1024 (omnibus digitale)
IL PARLAMENTO EUROPEO E IL CONSIGLIO DELL'UNIONE EUROPEA,
visto il trattato sul funzionamento dell'Unione europea, in particolare gli articoli 16 e 114,
vista la proposta della Commissione europea,
previa trasmissione del progetto di atto legislativo ai parlamenti nazionali,
visto il parere del Comitato economico e sociale europeo,
visto il parere della Banca centrale europea,
visto il parere del Comitato delle regioni,
deliberando secondo la procedura legislativa ordinaria,
considerando quanto segue:
(1)Nella sua comunicazione su un'Europa più semplice e più rapida, la Commissione ha annunciato il suo impegno a favore di un programma ambizioso volto a promuovere politiche innovative e orientate al futuro che rafforzino la competitività dell'Unione e riducano drasticamente il carico normativo per i cittadini, le imprese e le amministrazioni, mantenendo nel contempo gli standard più elevati nella promozione dei valori dell'Unione. Di conseguenza, la Commissione ha dato priorità alla proposta di apportare modifiche immediate alla legislazione, compresa quella nel settore digitale, per rispondere alla sfida in materia di competitività dell'Unione.
(2)La legislazione dell'Unione sul digitale stabilisce standard elevati e può rappresentare una fonte potente di vantaggio competitivo per le imprese che rispettano le norme, in quanto garantisce qualità, sicurezza e affidabilità a livello mondiale. Le normative sul digitale hanno stabilito norme chiare nell'Unione per le imprese responsabili, garantendo l'equità e la trasparenza nelle relazioni tra imprese, incentivando modelli di business innovativi, fissando standard elevati di protezione e sicurezza dei consumatori e tutelando i diritti fondamentali, non da ultimo il diritto alla vita privata e alla protezione dei dati.
(3)Negli ultimi anni la legislazione dell'Unione sul digitale si è evoluta in maniera graduale per rispondere al rapido aumento dell'impatto delle tecnologie digitali nell'economia e nelle dinamiche sociali dell'Unione e al fine di affrontare le sfide emergenti e promuovere le opportunità commerciali nell'UE. Nonostante l'impegno della Commissione a sottoporre sistematicamente le norme sul digitale, nonché altre norme dell'Unione, a "prove di stress", che potrebbero portare a ulteriori adeguamenti normativi, in particolare a seguito del prossimo controllo dell'adeguatezza digitale, nonché di altre valutazioni mirate delle norme sul digitale, sono necessarie modifiche normative immediate. Di conseguenza, il presente regolamento propone una prima serie di modifiche del quadro legislativo sul digitale, volte a fornire chiarimenti normativi immediati in grado di stimolare l'innovazione nel mercato dell'Unione e di ridurre gli oneri amministrativi di conformità, in particolare per le imprese, razionalizzando nel contempo i costi amministrativi e di controllo a carico delle autorità di controllo e degli organi consultivi. Tali modifiche mirano inoltre a garantire alle persone maggiore chiarezza.
(4)Dato il ruolo fondamentale dei dati nel promuovere la creazione di valore nell'economia digitale e conformemente agli obiettivi della comunicazione relativa a una strategia europea per l'Unione dei dati, le modifiche del quadro legislativo in materia di dati proposte nel presente regolamento mirano a creare un quadro normativo coerente e coeso per favorire la disponibilità e l'uso dei dati, razionalizzando e consolidando il quadro normativo in materia di dati e riducendolo a soli due atti giuridici, ossia i regolamenti (UE) 2016/679 e (UE) 2023/2854 del Parlamento europeo e del Consiglio, rispetto ai cinque diversi atti attualmente applicabili. Al fine di sostenere imprese digitali competitive nell'Unione, le modifiche mirano a ridurre i costi amministrativi superflui e a favorire la disponibilità di dati, preservando nel contempo il più elevato livello di tutela della vita privata e dei dati personali e pratiche commerciali eque e assicurando il conseguimento degli obiettivi normativi fondamentali, compreso il rispetto del diritto dell'UE e nazionale in materia di concorrenza.
(5)Tenendo conto dell'evoluzione iterativa delle norme orizzontali e settoriali, è indispensabile affrontare anche il problema delle sovrapposizioni tra disposizioni specifiche che comportano inutili duplicazioni degli oneri amministrativi. È il caso degli obblighi di segnalazione previsti da diverse norme in seguito a incidenti di cibersicurezza e a incidenti correlati, per cui le soluzioni digitali proposte nel presente regolamento possono contribuire ad alleviare immediatamente gli oneri a carico delle imprese che operano in tutti i settori interessati.
(6)Analogamente, data la continua regolamentazione delle piattaforme online negli ultimi anni, le norme più recenti hanno definito un quadro più chiaro e ambizioso rispetto ad alcune delle norme precedenti, che sono quindi diventate obsolete. È pertanto necessario che il quadro giuridico evolva e siano eliminate inutili duplicazioni che accrescono la complessità giuridica.
(7)Il regolamento (UE) 2022/868 del Parlamento europeo e del Consiglio ha stabilito norme per le funzioni di intermediazione in tre diversi contesti: a) le funzioni che favoriscono il riutilizzo di dati protetti detenuti da enti pubblici in condizioni controllate, b) i servizi di intermediazione dei dati che facilitano la condivisione dei dati tra gli interessati, i titolari dei dati e gli utenti dei dati, e c) le organizzazioni per l'altruismo dei dati che sostengono l'uso dei dati messi a disposizione dagli interessati e dai titolari dei dati a fini altruistici o filantropici. Le funzioni che favoriscono il riutilizzo dei dati protetti detenuti dal settore pubblico sono strettamente collegate alle norme della direttiva (UE) 2019/1024 del Parlamento europeo e del Consiglio. La loro interazione ha creato confusione, in particolare tra gli enti pubblici. È pertanto necessario accorpare i due insiemi di norme. Dalla valutazione delle norme riguardanti i servizi di intermediazione dei dati è emerso che la definizione di fornitore di servizi di intermediazione dei dati presenta alcune lacune e che le norme sono troppo severe perché i fornitori di servizi possano trovare un modello finanziario sostenibile. È pertanto inoltre necessario razionalizzare tale regime. Per quanto riguarda l'altruismo dei dati, alcune norme del regolamento (UE) 2022/868, in particolare l'obbligo per gli Stati membri di disporre di politiche nazionali in materia di altruismo dei dati, l'istituzione di un "codice" e l'elaborazione di un modulo europeo di consenso all'altruismo dei dati, sembrano superflue, anche alla luce del lavoro attualmente svolto dal comitato europeo per la protezione dei dati di cui all'articolo 68 del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, finalizzato all'elaborazione di orientamenti sul trattamento dei dati personali nel contesto della ricerca scientifica.
(8)Sebbene l'importanza rivestita dai servizi di intermediazione dei dati sia riconosciuta nel contesto di molte iniziative a sostegno della condivisione di dati e della collaborazione in materia di dati, è opportuno chiarire le norme riguardanti i fornitori di servizi di intermediazione dei dati di cui al regolamento (UE) 2022/868. In particolare, la definizione di fornitore di servizi di intermediazione dei dati dovrebbe essere più precisa. Da tale definizione dovrebbero essere eliminati gli elementi che servono solo come esempi illustrativi, piuttosto che come eccezioni. La definizione dovrebbe inoltre colmare le lacune derivanti da formulazioni ambigue, in particolare per quanto riguarda la nozione di "gruppo chiuso". I servizi non dovrebbero poter essere registrati come servizi di intermediazione dei dati se sono utilizzati esclusivamente da un gruppo chiuso di imprese e se l'eventuale ampliamento di tale gruppo può essere deciso solo dal gruppo in questione e non dal fornitore di servizi. È inoltre importante sottolineare che il fatto di assoggettare questo mercato emergente a un regime obbligatorio ha generato costi di conformità superflui. In questa fase di sviluppo del mercato, sembra sufficiente adottare un regime volontario, che consenta agli operatori neutrali di distinguersi dagli altri. Inoltre, al fine di consentire modelli di business sostenibili, tale regime dovrebbe essere reso meno rigoroso attraverso l'abolizione dell'obbligo di separare giuridicamente i servizi di intermediazione dei dati da altri servizi a valore aggiunto che un servizio dovrebbe essere autorizzato a offrire e la sua sostituzione con un obbligo di separazione funzionale pur mantenendo determinate garanzie. Il regime di monitoraggio amministrativo dovrebbe essere semplificato. In alternativa a un registro pubblico nazionale e a un registro pubblico dell'Unione per i fornitori di servizi di intermediazione dei dati e le organizzazioni per l'altruismo dei dati, dovrebbero esistere solo registri pubblici dell'Unione, in particolare uno per i fornitori di servizi di intermediazione dei dati e uno per le organizzazioni per l'altruismo dei dati. Le autorità competenti che si occupano di verificare se le entità in questione soddisfano i requisiti per l'ottenimento del titolo richiesto e di conferirlo dovrebbero svolgere tale compito in modo indipendente. Ciò dovrebbe significare che tali autorità sono indipendenti dal punto di vista giuridico e funzionale da un servizio di intermediazione dei dati o da un'organizzazione per l'altruismo dei dati, anche a livello dell'alta dirigenza. Le organizzazioni governative dovrebbero poter offrire un sostegno finanziario ai servizi di intermediazione dei dati o alle organizzazioni per l'altruismo dei dati, in particolare alla luce del fatto che si tratta di entità emergenti, a condizione che si tratti di entità giuridicamente distinte. Al fine di garantire che le entità riconosciute siano facilmente identificabili in tutta l'Unione, la Commissione ha adottato il regolamento di esecuzione (UE) 2023/1622 relativo ai disegni dei loghi comuni per l'identificazione dei fornitori di servizi di intermediazione dei dati e delle organizzazioni per l'altruismo dei dati riconosciuti nell'Unione.
(9)Il regolamento (UE) 2023/2854 elimina gli ostacoli posti all'accesso ai dati e al loro utilizzo, incentiva l'innovazione e la competitività basate sui dati e garantisce incentivi a coloro che investono nelle tecnologie fondate sui dati.
(10)Il capo II del regolamento (UE) 2023/2854 impone ai titolari dei dati di mettere i dati, compresi quelli protetti come segreti commerciali, a disposizione degli utenti e dei terzi da loro scelti, a condizione che siano mantenute le misure di riservatezza stabilite dal titolare dei dati. L'obbligo di mantenere la riservatezza integra la direttiva (UE) 2016/943 del Parlamento europeo e del Consiglio, che stabilisce norme per la protezione dei segreti commerciali all'interno dell'Unione. Tuttavia la divulgazione di segreti commerciali a soggetti di paesi terzi può mettere a rischio la loro integrità e riservatezza qualora vi sia un'esposizione a giurisdizioni che non offrono le tutele adeguate o che presentano difficoltà nella loro effettiva applicazione, e ciò potrebbe comportare un uso non autorizzato, danni economici e incertezza giuridica.
(11)È necessario rafforzare il regolamento (UE) 2023/2854 introducendo motivi aggiuntivi per il rifiuto della divulgazione di segreti commerciali da parte dei titolari dei dati, integrando le disposizioni esistenti che rendono possibile tale rifiuto sulla base della dimostrazione, da parte del titolare dei dati, dell'elevata probabilità di un grave danno economico. A norma della nuova disposizione, i titolari dei dati possono rifiutare di divulgare segreti commerciali se dimostrano che esiste un rischio elevato di acquisizione, utilizzo o divulgazione illeciti a entità soggette a regimi con protezione inadeguata oppure quadri giuridici non equivalenti o più deboli rispetto alle norme applicabili nell'Unione. La nuova disposizione riguarda anche i casi in cui il quadro giuridico del paese terzo è teoricamente solido o supera le norme previste dall'Unione, ma non è adeguatamente applicato nella pratica. Tali rischi evidenziano la possibilità che i segreti commerciali possano essere acquisiti, utilizzati o divulgati in violazione del diritto dell'Unione, con conseguente compromissione della loro integrità e riservatezza.
(12)Il ricorso al meccanismo di rifiuto dovrebbe rimanere volontario e le prove a sostegno di tale rifiuto dovrebbero essere fornite solo al momento dell'applicazione del meccanismo. Ai titolari dei dati non dovrebbe essere richiesto di condurre preliminarmente un'analisi su vasta scala o dimostrare il livello di protezione dei segreti commerciali in paesi terzi o da parte di un soggetto di un paese terzo per poter motivare il loro rifiuto di condividere dati o di divulgare segreti commerciali. Nel quadro della loro dimostrazione, i titolari dei dati possono prendere in considerazione vari fattori, come l'insufficienza o l'inadeguatezza delle norme giuridiche, la mancanza di rigore o l'arbitrarietà evidenziata nel corso dell'applicazione delle norme, la ricorrenza di violazioni, la presenza in un paese terzo di obblighi di divulgazione che sono in contrasto con il diritto dell'Unione, la limitatezza dei mezzi di ricorso a cui possono fare appello i soggetti dell'Unione, l'abuso strategico di tattiche procedurali per minare i concorrenti o l'indebita influenza politica. Data la varietà di soggetti, paesi terzi e scenari di condivisione dei dati in questione, i titolari dei dati dovrebbero concentrare la loro valutazione e dimostrazione sui rischi pertinenti e agire di conseguenza, anche definendo garanzie adeguate o ricorrendo al meccanismo di rifiuto. I rifiuti dovrebbero essere chiari, proporzionati e adeguati alle circostanze specifiche di ciascun caso, anziché essere applicati in modo sistematico o generalizzato all'intero paese terzo.
(13)Una protezione insufficiente dei segreti commerciali e le difficoltà nel garantirne il rispetto nei paesi terzi possono causare danni irreparabili alle imprese europee. L'obiettivo è pertanto quello di rafforzare le garanzie per la tutela dei segreti commerciali, impedendo che vengano divulgati a persone fisiche o giuridiche stabilite in giurisdizioni che presentano tali rischi o soggette a tali giurisdizioni. Tra queste figurano le entità aventi sede nell'Unione, controllate da soggetti di paesi terzi, che possono agire in malafede o fungere da copertura per soggetti di paesi terzi. Inoltre l'obiettivo è evitare l'esposizione diretta a soggetti di paesi terzi che operano all'interno dell'Unione e che sono soggetti a tali giurisdizioni. Se è soggetta alla giurisdizione di un paese terzo, una persona fisica o giuridica è legalmente disciplinata, controllata o altrimenti vincolata dalle normative o dall'autorità di regolamentazione di un paese terzo. Le controllate o affiliate di società madri di paesi terzi possono sfruttare tali giurisdizioni per eludere o aggirare le norme dell'Unione. Avere un controllo diretto o indiretto vuol dire avere la capacità di esercitare un'influenza determinante o dominante sulla gestione o sulle decisioni strategiche di un'entità, attraverso la proprietà del capitale o i diritti di voto, la partecipazione finanziaria, accordi contrattuali o entità intermediarie. Il controllo può essere esercitato direttamente o con altri mezzi, anche senza partecipazione maggioritaria. I titolari dei dati dovrebbero adoperarsi al massimo per ottenere le informazioni pertinenti, ad esempio tramite ricerche nei registri pubblici o la richiesta diretta all'utente o alla terza parte, garantendo nel contempo di ricorrere a metodi adeguatamente non intrusivi.
(14)Proteggere i segreti commerciali da tali vulnerabilità è essenziale affinché le industrie europee possano mantenere la loro posizione di mercato e il loro vantaggio competitivo. Sebbene i titolari dei dati possano esercitare una certa discrezionalità per quanto riguarda la tutela dei loro segreti commerciali, le decisioni che implicano il rifiuto di condividere i dati dovrebbero essere limitate a circostanze eccezionali debitamente giustificate, al fine di garantire il conseguimento degli obiettivi del regolamento (UE) 2023/2854 di promuovere l'innovazione basata sui dati e una fiorente economia digitale nell'Unione. Dovrebbero rimanere in vigore garanzie contro l'uso improprio del meccanismo di rifiuto, compreso l'obbligo per il titolare dei dati di dimostrare con prove concrete che la divulgazione dei dati comporterebbe un rischio elevato e di informare le autorità competenti. Tale dimostrazione dovrebbe essere fornita per iscritto senza indebito ritardo all'utente o a terzi e dovrebbe essere proporzionata al caso in questione. Tutte le parti coinvolte dovrebbero trattare la decisione e le prove giustificative come confidenziali al fine di tutelare i segreti commerciali in questione, che sono per natura riservati. Gli utenti e i terzi, a seconda dei casi, possono impugnare la decisione del titolare dei dati dinanzi all'autorità competente, a un organo giurisdizionale o ad organismi di risoluzione delle controversie.
(15)Al fine di semplificare il quadro normativo che disciplina la condivisione dei dati tra imprese e pubblica amministrazione di cui al regolamento (UE) 2023/2854 e di chiarire le ambiguità che in precedenza imponevano obblighi maggiori alle imprese, è necessario restringere l'ambito di applicazione del capo V di tale regolamento alle sole "emergenze pubbliche", senza più alcun riferimento alle "necessità eccezionali". Il concetto di "emergenza pubblica", definito all'articolo 2, punto 29), del regolamento (UE) 2023/2854, garantisce pertanto che gli obblighi stabiliti in tale capo siano invocati solo in situazioni urgenti ben definite, riducendo le difficoltà tecniche, amministrative e giuridiche che le imprese dovevano affrontare nel quadro del regime precedente. Ciò garantirebbe che le richieste di dati siano pertinenti e proporzionate per rispondere alle emergenze pubbliche, attenuarne la portata o sostenere la ripresa a seguito di tali emergenze. Poiché il quadro aggiornato dell'Unione relativo alle statistiche europee di cui al regolamento (CE) n. 223/2009 del Parlamento europeo e del Consiglio non riguarda le emergenze pubbliche, è essenziale preservare il ruolo delle statistiche ufficiali a norma del capo V del regolamento (UE) 2023/2854 per garantire chiarezza ed efficacia in tali situazioni. È inoltre necessario chiarire il regime di compensazione per le situazioni in cui le microimprese e le piccole imprese sono tenute a fornire dati per far fronte a un'emergenza pubblica, caso in cui tali imprese sono autorizzate a chiedere un compenso.
(16)Al fine di attenuare le incertezze giuridiche che potrebbero scoraggiare la creazione di modelli di business innovativi, è necessario affrontare le ambiguità sostanziali riguardo alla conformità e gli oneri associati alle disposizioni sui contratti intelligenti per l'esecuzione degli accordi di condivisione dei dati a norma dell'articolo 36 del regolamento (UE) 2023/2854. L'assenza di norme armonizzate e di definizioni chiare per concetti chiave quali "robustezza", "controllo dell'accesso" e "coerenza con le clausole contrattuali", unitamente all'obbligo di garantire un "meccanismo di cessazione o interruzione sicura" potenzialmente incompatibile con architetture blockchain decentrate o pubbliche basate su registri immutabili, ha posto gli innovatori di fronte a difficoltà sul piano dei costi e delle opportunità. Inoltre l'ambiguità che caratterizza l'esecuzione della valutazione della conformità a norma dell'articolo 36, paragrafo 2, di tale regolamento rischia di comportare oneri sproporzionati. La soppressione dell'articolo 36 del regolamento (UE) 2023/2854 promuoverebbe pertanto lo sviluppo e l'introduzione sul mercato di nuovi modelli di business, favorirebbe l'innovazione e ridurrebbe gli ostacoli per le tecnologie emergenti.
(17)Alcuni servizi di trattamento dei dati, che non rientrano nel modello di fornitura del servizio a livello di infrastruttura (Infrastructure as a Service, IaaS), sono personalizzati in base alle esigenze o all'ecosistema del cliente. La fornitura di tali servizi di trattamento dei dati si basa su negoziazioni precontrattuali e contrattuali dispendiose in termini di tempo per determinare le esigenze specifiche del cliente e i successivi interventi tecnici necessari per personalizzare il servizio di trattamento dei dati e fornire una soluzione su misura. Si tratta di servizi non predefiniti che vengono personalizzati in base alle esigenze del cliente per poter fornire una soluzione su misura in cui la maggior parte delle caratteristiche e delle funzionalità del servizio di trattamento dei dati è stata adattata dal fornitore alle esigenze specifiche del cliente e non potrebbe essere utilizzata da un altro cliente senza un adattamento previo da parte del fornitore. Tali servizi differiscono dai servizi di trattamento dei dati personalizzati di cui all'articolo 31, paragrafo 1, del regolamento (UE) 2023/2854. I servizi di trattamento dei dati personalizzati sono servizi le cui caratteristiche principali sono state per la maggior parte personalizzate al fine di soddisfare le esigenze specifiche di un singolo cliente o servizi di trattamento dei dati che non sono offerti su vasta scala commerciale tramite il catalogo di servizi del fornitore. Per evitare costi e oneri amministrativi aggiuntivi connessi alla necessità di riaprire e rinegoziare i contratti conclusi il 12 settembre 2025 o anteriormente, è necessario chiarire che, ad eccezione dell'obbligo di ridurre e, in ultima analisi, eliminare le tariffe di passaggio e di uscita, i servizi personalizzati forniti in base a contratti conclusi il 12 settembre 2025 o anteriormente non dovrebbero rientrare nell'ambito di applicazione del capo VI del regolamento (UE) 2023/2854.
(18)Per motivi legati alla pianificazione finanziaria e alla necessità di attrarre investimenti, i fornitori di servizi di trattamento dei dati, in particolare le PMI e le piccole imprese a media capitalizzazione, potrebbero preferire e offrire contratti di durata fissa. È necessario chiarire che i fornitori di servizi di trattamento dei dati possono includere in tali contratti disposizioni relative a sanzioni proporzionate in caso di risoluzione anticipata, purché esse non costituiscano un ostacolo al passaggio a un altro fornitore. Inoltre sui fornitori di servizi di trattamento dei dati che sono PMI o piccole imprese a media capitalizzazione grava in modo particolare la necessità di allineareal regolamento (UE) 2023/2854 i contratti esistenti per la fornitura di servizi di trattamento dei dati. È pertanto necessario stabilire un regime specifico per tali fornitori se forniscono servizi di trattamento dei dati, diversi dai servizi IaaS, sulla base di contratti conclusi il 12 settembre 2025 o anteriormente. Tenendo conto dell'obiettivo del regolamento (UE) 2023/2854 di consentire il passaggio tra servizi di trattamento dei dati e visto che le tariffe di passaggio, comprese quelle di uscita, costituiscono un grave ostacolo al passaggio ad altri fornitori, i nuovi regimi semplificati riguardanti i servizi di trattamento dei dati che sono personalizzati o che sono forniti dalle PMI o dalle piccole imprese a media capitalizzazione non dovrebbero compromettere la graduale abolizione di tali tariffe. Disposizioni contrattuali contrarie a tale obiettivo dovrebbero essere considerate come smai esistite se sono incluse in accordi contrattuali sulla prestazione di servizi rientranti nell'ambito di applicazione di tali due nuovi regimi specifici.
(19)Il regolamento (UE) 2018/1807 del Parlamento europeo e del Consiglio ha introdotto un principio fondamentale per favorire lo sviluppo di un'economia basata sui dati all'interno dell'Unione, sostenendo in termini concreti la libertà di stabilimento e la libera prestazione di servizi. La "libera circolazione dei dati" nell'Unione, chiarita dal divieto di imporre la localizzazione dei dati, rimane un principio fondamentale che garantisce la certezza del diritto alle imprese, e dovrebbe essere mantenuta nel regolamento (UE) 2023/2854. Tale disposizione non pregiudica il trattamento dei dati nella misura in cui questo è effettuato nell'ambito di un'attività che non è disciplinata dal diritto dell'Unione, in particolare per quanto riguarda la sicurezza nazionale, conformemente all'articolo 4 del trattato sull'Unione europea. Allo stesso tempo, altre disposizioni del regolamento (UE) 2018/1807 sono sostituite da norme più recenti. In particolare, il capo VI del regolamento (UE) 2023/2854 ha introdotto un quadro giuridico orizzontale moderno che disciplina il passaggio tra servizi di trattamento dei dati e ha reso l'articolo 6 del regolamento (UE) 2018/1807 praticamente obsoleto. La coesistenza di tali disposizioni ha aumentato la complessità giuridica per le imprese. È pertanto opportuno abrogare il regolamento (UE) 2018/1807.
(20)La nozione di "pubblica sicurezza" ai sensi dell'articolo 52 TFUE, nell'interpretazione datane dalla Corte di giustizia, riguarda la sicurezza sia interna che esterna di uno Stato membro, come pure le questioni di incolumità pubblica, in particolare al fine di agevolare le indagini, l'accertamento e il perseguimento di reati. Presuppone l'esistenza di una minaccia reale e sufficientemente grave a uno degli interessi fondamentali della società, quale il pregiudizio al funzionamento delle istituzioni e dei servizi pubblici essenziali nonché all'incolumità della popolazione, come il rischio di perturbazioni gravi dei rapporti internazionali o della coesistenza pacifica dei popoli, o ancora il pregiudizio agli interessi militari. Conformemente al principio di proporzionalità, gli obblighi di localizzazione dei dati giustificati da motivi di pubblica sicurezza dovrebbero essere adatti al raggiungimento dell'obiettivo perseguito e limitarsi a quanto è necessario per conseguire tale obiettivo.
(21)Sia la direttiva (UE) 2019/1024 che il capo II del regolamento (UE) 2022/868 disciplinano il riutilizzo dell'informazione del settore pubblico a fini di innovazione. L'interazione tra i due insiemi di norme ha creato incertezza giuridica, principalmente per gli enti pubblici. È pertanto necessario un allineamento delle norme in un unico strumento giuridico al fine di garantire maggiore coerenza e certezza del diritto.
(22) Dato che sia la direttiva (UE) 2019/1024 sia il regolamento (UE) 2022/868 hanno l'obiettivo di migliorare il riutilizzo dell'informazione del settore pubblico, e al fine di semplificare le norme dal punto di vista sia degli enti pubblici che dei riutilizzatori dell'informazione del settore pubblico, è opportuno abrogare la direttiva (UE) 2019/1024 e il regolamento (UE) 2022/868, allineare i due regimi e consolidare le norme in un unico capo nel quadro del presente regolamento. Questa soluzione permetterà una maggiore armonizzazione di tali norme in tutta l'Unione, ridurrà gli oneri amministrativi associati all'interpretazione e all'attuazione della legislazione nazionale e renderà più facile per le imprese sviluppare servizi e prodotti transfrontalieri. Nel designare gli organismi competenti, gli Stati membri dovrebbero garantire che, anche qualora siano designati organismi competenti responsabili di un settore specifico, in ultima analisi siano contemplati tutti i settori pertinenti. Le modifiche contenute nel presente regolamento non dovrebbero essere intese come modifiche dell'interpretazione delle diverse definizioni e dei diversi termini, a meno che ciò non sia chiaramente specificato.
(23)I dati e i documenti che possono essere messi a disposizione del pubblico per essere riutilizzati e quelli che sono protetti per motivi di riservatezza commerciale, come i segreti commerciali, professionali o d'impresa, di riservatezza statistica, di protezione dei diritti di proprietà intellettuale di terzi o di protezione dei dati personali sono spesso detenuti dagli stessi enti pubblici. È pertanto necessario allineare le definizioni e i principi comuni applicabili a tutte le informazioni del settore pubblico e affrontare le questioni relative all'interazione dei due insiemi di norme.
(24)Le norme vigenti dovrebbero essere razionalizzate per migliorarne la chiarezza e la coerenza. Tuttavia i due regimi che disciplinano il riutilizzo dovrebbero rimanere distinti e il loro rispettivo ambito di applicazione dovrebbe continuare a dipendere dalle caratteristiche dei dati o dei documenti e dal contesto del loro riutilizzo. Gli enti pubblici dovrebbero applicare il regime di apertura dei dati ogniqualvolta possibile. Solo nel caso in cui dovessero stabilire che i dati o un documento contengono informazioni corrispondenti a determinate categorie di dati protetti, tali enti dovrebbero limitarne la disponibilità pubblica e prendere in considerazione la possibilità di renderli disponibili per il riutilizzo come dati protetti.
(25)Le start-up, le piccole imprese e le imprese che sono considerate medie imprese a norma dell'articolo 2 dell'allegato della raccomandazione 2003/361/CE della Commissione e le imprese dei settori con capacità digitali meno sviluppate faticano a riutilizzare i dati e i documenti. Allo stesso tempo sono emerse alcune entità molto grandi con un notevole potere economico nell'economia digitale, ottenuto grazie all'accumulo e all'aggregazione di grandi volumi di dati e all'infrastruttura tecnologica per la loro monetizzazione. Tali entità molto grandi comprendono imprese che forniscono servizi di piattaforma di base, che sono designate come gatekeeper a norma del regolamento (UE) 2022/1925 del Parlamento europeo e del Consiglio e che sono soggette a obblighi particolari al fine di correggere gli squilibri. Per far fronte a tali squilibri e favorire la concorrenza e l'innovazione, gli enti pubblici dovrebbero poter introdurre condizioni particolari nelle licenze relative al riutilizzo di dati e documenti da parte di imprese molto grandi. Tali condizioni dovrebbero essere proporzionate e basarsi su criteri oggettivi, tenendo conto del potere economico dell'entità e della sua capacità di acquisire dati, oppure della sua designazione come gatekeeper a norma del regolamento (UE) 2022/1925, nonché di altri criteri di questo tipo, se del caso. Tali condizioni particolari potrebbero riguardare, tra l'altro, i diritti e le tariffe o le finalità del riutilizzo.
(26)Nello spirito di promuovere l'innovazione e mantenere una concorrenza leale all'interno del mercato digitale dell'Unione, è indispensabile garantire che l'accesso ai dati del settore pubblico e il loro riutilizzo vadano a beneficio di un'ampia gamma di partecipanti al mercato e non rafforzino inavvertitamente le posizioni dominanti esistenti. Le imprese molto grandi, in particolare quelle designate come gatekeeper a norma del regolamento (UE) 2022/1925, detengono un potere e un'influenza significativi sul mercato interno. Al fine di evitare che tali entità sfruttino i loro ingenti mezzi a scapito della concorrenza leale e dell'innovazione, gli enti pubblici dovrebbero poter stabilire tariffe e diritti più elevati per il riutilizzo dei dati aperti della pubblica amministrazione e dei dati protetti. Tali tariffe e diritti più elevati dovrebbero essere proporzionati e basati su criteri oggettivi, tenendo conto del potere economico e della capacità dell'entità di acquisire dati. Questa misura consente alle imprese più piccole e ai nuovi operatori del mercato di innovare e competere nell'economia digitale.
(27)Il presente regolamento propone una serie di modifiche mirate del regolamento (UE) 2016/679 a fini di chiarimento e semplificazione, preservando nel contempo lo stesso livello di protezione dei dati. A norma dell'articolo 4 del regolamento (UE) 2016/679, per dati personali si intende qualsiasi informazione riguardante una persona fisica identificata o identificabile. Per determinare se una persona fisica sia identificabile, è opportuno considerare tutti i mezzi che possono essere ragionevolmente utilizzati per identificare detta persona direttamente o indirettamente. Tenendo conto della giurisprudenza della Corte di giustizia dell'Unione europea relativa alla definizione di dati personali, è necessario chiarire ulteriormente i casi in cui una persona fisica debba essere considerata identificabile. L'esistenza di informazioni aggiuntive che consentano di identificare l'interessato non implica, di per sé, che i dati pseudonimizzati debbano essere considerati, in tutti i casi e per ogni persona o entità, dati personali ai fini dell'applicazione del regolamento (UE) 2016/679. In particolare è opportuno chiarire che le informazioni non devono essere considerate dati personali per una determinata entità se quest'ultima non dispone di mezzi che possono essere ragionevolmente utilizzati per identificare la persona fisica cui le informazioni si riferiscono. Se tali informazioni sono trasmesse successivamente a terzi che dispongono di mezzi che possono ragionevolmente consentire loro di identificare la persona fisica cui le informazioni si riferiscono, come un controllo incrociato con altri dati a loro disposizione, esse possono essere considerate dati personali solo per i terzi che dispongono di tali mezzi. Un'entità per la quale tali informazioni non sono considerate dati personali non rientra, in linea di principio, nell'ambito di applicazione del regolamento (UE) 2016/679. A tale riguardo, la Corte di giustizia dell'Unione europea ha dichiarato che non ci si può avvalere ragionevolmente di un mezzo per identificare l'interessato quando l'identificazione di tale persona è vietata dalla legge o praticamente irrealizzabile, per esempio a causa del fatto che ciò implicherebbe un dispendio sproporzionato di tempo, costi e manodopera. Gli obblighi a cui sono soggetti gli utenti dei dati sanitari, di cui all'articolo 61, paragrafo 3, del regolamento (UE) 2025/327 del Parlamento europeo e del Consiglio, costituiscono un esempio di divieto di reidentificazione. La Commissione, insieme al comitato europeo per la protezione dei dati, dovrebbe sostenere i titolari del trattamento nell'applicazione di tale definizione aggiornata stabilendo criteri tecnici in un atto di esecuzione.
(28)Al fine di valutare se la ricerca soddisfa le condizioni previste dal presente regolamento per la ricerca scientifica, possono essere considerati elementi quali l'approccio metodologico e sistematico applicato nello svolgimento della ricerca in un settore specifico. La ricerca e lo sviluppo tecnologico dovrebbero essere condotti in contesti accademici, industriali e di altro tipo, comprese le piccole e medie imprese (articolo 179, paragrafo 2, TFUE), essere sempre di alta qualità e aderire ai principi di affidabilità, onestà, rispetto e responsabilità (verificabilità).
(29)È opportuno ribadire che l'ulteriore trattamento a fini di archiviazione nel pubblico interesse, o di ricerca scientifica o storica o a fini statistici dovrebbe essere considerato un trattamento lecito e compatibile. In tali casi non è necessario accertare, sulla base dell'articolo 6, paragrafo 4, del presente regolamento, se la finalità dell'ulteriore trattamento sia compatibile con la finalità per la quale i dati personali sono inizialmente raccolti.
(30)Un'IA affidabile è fondamentale per garantire la crescita economica e sostenere l'innovazione con risultati socialmente vantaggiosi. Nelle varie fasi del ciclo di vita dell'IA, come le fasi di addestramento, prova e convalida, lo sviluppo e l'uso dei sistemi di IA e dei modelli sottostanti, come i modelli linguistici di grandi dimensioni e i modelli video generativi, si basano sui dati, compresi i dati personali, che possono in alcuni casi essere conservati nel sistema o nel modello di IA. Il trattamento dei dati personali in questo contesto può pertanto essere effettuato, se del caso, per il perseguimento di un interesse legittimo ai sensi dell'articolo 6 del regolamento (UE) 2016/679. Ciò non pregiudica l'obbligo del titolare del trattamento di garantire che lo sviluppo o l'utilizzo (diffusione) dell'IA in un contesto specifico o per finalità specifiche sia conforme ad altre normative dell'Unione o nazionali, o di assicurare la conformità qualora il suo utilizzo sia esplicitamente vietato dalla legge. Ciò lascia inoltre impregiudicato l'obbligo di garantire il rispetto di tutte le altre condizioni di cui all'articolo 6, paragrafo 1, lettera f), del regolamento (UE) 2016/679, nonché di tutti gli altri obblighi e principi di tale regolamento.
(31)Quando il titolare del trattamento, alla luce dell'approccio basato sul rischio che determina la scalabilità degli obblighi di cui al presente regolamento, mette a confronto il legittimo interesse perseguito da esso stesso o da un terzo e gli interessi, i diritti e le libertà dell'interessato, è opportuno valutare se l'interesse perseguito dal titolare del trattamento sia vantaggioso per l'interessato e la società in generale, ad esempio nel caso in cui il trattamento dei dati personali sia necessario per individuare ed eliminare distorsioni, proteggendo in tal modo gli interessati dalla discriminazione, o nel caso in cui tale trattamento miri a garantire output accurati e sicuri da poter utilizzare proficuamente, ad esempio per migliorare l'accessibilità di determinati servizi. Tra le altre cose, è opportuno prendere in considerazione anche le ragionevoli aspettative dell'interessato basate sulla sua relazione con il titolare del trattamento, le garanzie adeguate per ridurre al minimo l'impatto sui diritti degli interessati, quali la maggiore trasparenza, il diritto incondizionato di opporsi al trattamento dei loro dati personali, il rispetto delle indicazioni tecniche integrate in un servizio che limitano l'uso dei dati per lo sviluppo dell'IA da parte di terzi, nonché l'uso di altre tecniche all'avanguardia di tutela della vita privata per l'addestramento dell'IA e misure tecniche adeguate per ridurre efficacemente al minimo i rischi derivanti, ad esempio, dal rigurgito, dalla fuga di dati e da altre azioni previste o prevedibili.
(32)Il trattamento dei dati personali per finalità di ricerca scientifica e l'applicazione delle disposizioni del regolamento generale sulla protezione dei dati (GDPR) in materia di ricerca scientifica sono subordinati all'adozione di garanzie adeguate per i diritti e le libertà degli interessati, a norma dell'articolo 89, paragrafo 1, GDPR. A tal fine, il GDPR concilia il diritto alla protezione dei dati personali, a norma dell'articolo 8 della Carta dei diritti fondamentali dell'Unione europea, con la libertà delle scienze, a norma dell'articolo 13 della stessa. Il trattamento dei dati personali a fini di ricerca scientifica persegue pertanto un interesse legittimo ai sensi dell'articolo 6, paragrafo 1, lettera f), del regolamento (UE) 2016/679, purché tale ricerca non sia contraria al diritto dell'Unione o degli Stati membri. Ciò non pregiudica l'obbligo del titolare del trattamento di garantire che siano soddisfatte tutte le altre condizioni di cui all'articolo 6, paragrafo 1, lettera f), del regolamento (UE) 2016/679, nonché tutti gli altri obblighi e principi di tale regolamento.
(33)Lo sviluppo di determinati sistemi e modelli di IA può comportare la raccolta di grandi quantità di dati, compresi i dati personali e categorie particolari di tali dati. Tali categorie particolari di dati personali potrebbero trovarsi negli insiemi di dati utilizzati a fini di addestramento, prova o convalida o essere conservate nel sistema o nel modello di IA, sebbene non siano necessarie ai fini del trattamento. Al fine di non ostacolare in modo sproporzionato lo sviluppo e il funzionamento dell'IA e tenendo conto delle capacità del titolare del trattamento di identificare e rimuovere categorie particolari di dati personali, dovrebbe essere consentita una deroga al divieto di trattare categorie particolari di dati personali a norma dell'articolo 9, paragrafo 2, del regolamento (UE) 2016/679. Questa deroga dovrebbe applicarsi solo se il titolare del trattamento ha attuato efficacemente misure tecniche e organizzative adeguate per evitare il trattamento di tali dati, adotta misure appropriate durante l'intero ciclo di vita di un sistema o di un modello di IA e, una volta individuati, rimuove efficacemente tali dati. Qualora rimuovere i dati richieesse uno sforzo sproporzionato, in particolare se per la rimozione di categorie particolari di dati memorizzati nel sistema o nel modello di IA fosse necessaria la reingegnerizzazione di tale sistema o modello, il titolare del trattamento dovrebbe proteggere efficacemente tali dati affinché non vengano utilizzati per dedurre output, non siano divulgati o non siano messi in altro modo a disposizione di terzi. Tale deroga non dovrebbe applicarsi qualora il trattamento di categorie particolari di dati personali sia necessario ai fini del trattamento. In tal caso, il titolare del trattamento dovrebbe avvalersi delle deroghe di cui all'articolo 9, paragrafo 2, lettere da a) a j), del regolamento (UE) 2016/679.
(34)Per dati biometrici, quali definiti all'articolo 4, punto 14), del regolamento (UE) 2016/679, si intendono determinate caratteristiche di una persona fisica trattate mediante uno specifico mezzo tecnico, che consente o conferma l'identificazione univoca di tale persona. La nozione di dati biometrici comprende due funzioni distinte, vale a dire l'identificazione di una persona fisica o la verifica (detta anche autenticazione) della sua identità dichiarata, basate su processi tecnici diversi. Il processo di identificazione si basa sulla ricerca "uno a molti", in una banca dati, dei dati biometrici dell'interessato, mentre il processo di verifica si basa sul confronto "uno a uno" dei dati biometrici forniti dall'interessato, che in tal modo dichiara la propria identità. Si dovrebbe inoltre consentire una deroga al divieto di trattare i dati biometrici di cui all'articolo 9, paragrafo 1, del regolamento qualora la verifica dell'identità dichiarata dell'interessato sia necessaria per una finalità perseguita dal titolare del trattamento e si applichino garanzie adeguate che permettano all'interessato di avere il controllo esclusivo del processo di verifica. Ad esempio, se i dati biometrici sono conservati in modo sicuro esclusivamente dall'interessato o sono conservati in modo sicuro dal titolare del trattamento in una forma cifrata considerata all'avanguardia e la chiave di cifratura o altri mezzi equivalenti sono detenuti unicamente dall'interessato, tale trattamento non dovrebbe rappresentare un rischio significativo per i diritti e le libertà fondamentali di quest'ultimo. Il titolare del trattamento non viene a conoscenza dei dati biometrici oppure ne viene a conoscenza solo per un periodo di tempo molto limitato durante il processo di verifica.
(35)L'articolo 15 del regolamento (UE) 2016/679 prevede che gli interessati abbiano il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che li riguardano e, in tal caso, di ottenere l'accesso ai dati personali e a determinate informazioni aggiuntive. Il diritto di accesso dovrebbe consentire all'interessato di essere consapevole del trattamento e di verificarne la liceità, nonché di esercitare gli altri diritti di cui gode a norma del regolamento (UE) 2016/679. Per contro, è opportuno chiarire all'articolo 12 del regolamento che gli interessati non dovrebbero abusare del diritto di accesso, che è a priori a loro vantaggio, per finalità diverse dalla protezione dei loro dati. Ad esempio, un siffatto abuso del diritto di accesso si potrebbe verificare qualora l'interessato intendesse indurre il titolare del trattamento a respingere una richiesta di accesso, al fine di chiedere successivamente il pagamento di un indennizzo, eventualmente con la minaccia di avanzare una domanda di risarcimento danni. Altri esempi di abuso comprendono situazioni in cui gli interessati fanno un uso eccessivo del diritto di accesso con l'unico intento di recare pregiudizio al titolare del trattamento o in cui una persona presenta una richiesta, ma al tempo stesso si offre di ritirarla in cambio di qualche forma di vantaggio concesso dal titolare del trattamento. Inoltre, al fine di limitare il loro onere a un livello ragionevole, ai titolari del trattamento dovrebbe incombere un onere della prova relativo al carattere eccessivo di una richiesta inferiore a quello relativo al carattere manifestamente infondato di una richiesta. Il motivo di tale differenza è che il carattere manifestamente infondato di una richiesta dipende da fatti che rientrano principalmente nella sfera di responsabilità del titolare del trattamento, mentre il carattere eccessivo di una richiesta dipende dal comportamento potenzialmente abusivo di un interessato, che si colloca essenzialmente al di fuori della sfera di influenza del titolare del trattamento, e pertanto quest'ultimo può essere in grado di dimostrare tale abuso solo a un livello ragionevole. In ogni caso, nel richiedere l'accesso a norma dell'articolo 15 del regolamento (UE) 2016/679, l'interessato dovrebbe essere quanto più specifico possibile. Anche le richieste troppo ampie e generiche dovrebbero essere considerate eccessive.
(36)L'articolo 13 del regolamento (UE) 2016/679 impone al titolare del trattamento di fornire all'interessato determinate informazioni sul trattamento dei suoi dati personali nonché alcune ulteriori informazioni necessarie per garantire un trattamento corretto e trasparente, definite ai paragrafi 1, 2 e 3 di tale disposizione. Conformemente all'articolo 13, paragrafo 4, del regolamento (UE) 2016/679, tale obbligo non si applica se e nella misura in cui l'interessato dispone già di tali informazioni. Al fine di ridurre ulteriormente l'onere a carico dei titolari del trattamento, senza compromettere la possibilità per l'interessato di esercitare i propri diritti a norma del capo III del regolamento, tale deroga dovrebbe essere estesa alle situazioni in cui il trattamento non è suscettibile di presentare un rischio elevato ai sensi dell'articolo 35 del regolamento e in cui vi sono ragionevoli motivi per presumere che l'interessato disponga già delle informazioni di cui al paragrafo 1, lettere a) e c), alla luce del contesto in cui i dati personali sono stati raccolti, in particolare per quanto riguarda la relazione tra gli interessati e il titolare del trattamento. Queste dovrebbero essere le situazioni in cui il contesto della relazione tra il titolare del trattamento e l'interessato è molto chiaro e circoscritto e l'attività del titolare del trattamento non è ad alta intensità di dati, come nel caso della relazione tra un artigiano e i suoi clienti, in cui l'ambito del trattamento è limitato ai dati minimi necessari per prestare il servizio. L'attività del titolare del trattamento non è ad alta intensità di dati quando prevede la raccolta di una piccola quantità di dati personali e le operazioni di trattamento non sono complesse, contrariamente a quanto avviene, ad esempio, nel settore dell'occupazione. In tali circostanze, vale a dire quando il trattamento non è ad alta intensità di dati, non è complesso e il titolare del trattamento raccoglie una piccola quantità di dati personali, dovrebbe essere ragionevole attendersi, ad esempio, che l'interessato disponga di informazioni sull'identità e sui dati di contatto del titolare del trattamento nonché sulla finalità del trattamento quando quest'ultimo è effettuato per l'esecuzione di un contratto di cui l'interessato è parte o quando l'interessato ha prestato il proprio consenso a tale trattamento, conformemente alle prescrizioni di cui al regolamento (UE) 2016/679. Lo stesso dovrebbe valere per le associazioni e i club sportivi in cui il trattamento dei dati personali è limitato alla gestione delle iscrizioni, alla comunicazione con i membri e all'organizzazione delle attività. Tuttavia la deroga agli obblighi di cui all'articolo 13 lascia impregiudicati gli obblighi indipendenti del titolare del trattamento a norma dell'articolo 15 di tale regolamento, che si applicano nel caso in cui l'interessato chieda l'accesso ai dati sulla base di quest'ultima disposizione. Qualora non si applichi la deroga agli obblighi di cui all'articolo 13, al fine di bilanciare la necessità dell'interessato di ricevere informazioni complete e di facile comprensione, i titolari del trattamento possono adottare un approccio a più livelli quando forniscono le informazioni richieste, in particolare consentendo agli utenti di accedere a ulteriori informazioni.
(37)Qualora il trattamento abbia luogo a fini di ricerca scientifica e la comunicazione di informazioni all'interessato si riveli impossibile o comporti uno sforzo sproporzionato, non dovrebbe essere necessario fornire le informazioni di cui all'articolo 13 di tale regolamento. Il titolare del trattamento dovrebbe compiere sforzi ragionevoli per acquisire i dati di contatto se questi sono prontamente disponibili e la loro acquisizione non richiederebbe uno sforzo sproporzionato. La comunicazione delle informazioni comporterebbe uno sforzo sproporzionato in particolare se, al momento della raccolta dei dati personali, il titolare del trattamento non sapeva o non prevedeva che in una fase successiva avrebbe trattato tali dati per finalità di ricerca scientifica, nel qual caso potrebbe non disporre facilmente dei dati di contatto degli interessati. In tali situazioni il titolare del trattamento dovrebbe informare gli interessati indirettamente, ad esempio mettendo le informazioni a disposizione del pubblico. La comunicazione di tali informazioni dovrebbe garantire che sia raggiunto il maggior numero possibile di interessati. I mezzi pertinenti per mettere le informazioni a disposizione del pubblico dovrebbero essere determinati in funzione del contesto del progetto di ricerca e degli interessati coinvolti.
(38)L'articolo 22 del regolamento (UE) 2016/679 prevede norme che disciplinano il trattamento dei dati personali quando il titolare del trattamento prende decisioni che hanno effetti giuridici o effetti altrettanto significativi sull'interessato, unicamente sulla base di un trattamento automatizzato. Al fine di garantire una maggiore certezza del diritto, è opportuno chiarire che le decisioni basate unicamente sul trattamento automatizzato sono consentite quando sono soddisfatte condizioni specifiche, come stabilito nel regolamento (UE) 2016/679. È inoltre opportuno chiarire che, nel valutare se una decisione sia necessaria per la conclusione o l'esecuzione di un contratto tra l'interessato e un titolare del trattamento, come stabilito all'articolo 22, paragrafo 2, lettera a), del regolamento (UE) 2016/679, non dovrebbe essere richiesto che la decisione possa essere presa solo mediante un trattamento automatizzato. Ciò significa che il fatto che la decisione potrebbe essere presa anche tramite l'intervento umano non impedisce al titolare del trattamento di prendere tale decisione ricorrendo esclusivamente al trattamento automatizzato. Quando esistono diverse soluzioni di trattamento automatizzato di pari efficacia, il titolare del trattamento dovrebbe utilizzare quella meno invasiva.
(39)Al fine di ridurre l'onere a carico dei titolari del trattamento e di garantire nel contempo che le autorità di controllo abbiano accesso alle informazioni pertinenti e possano agire in caso di violazioni del regolamento, la soglia per la notifica di una violazione dei dati personali all'autorità di controllo a norma dell'articolo 33 del regolamento (UE) 2016/679 dovrebbe essere allineata a quella per la comunicazione di una violazione dei dati personali all'interessato a norma dell'articolo 34 di tale regolamento. Nel caso in cui la violazione dei dati non sia suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento non dovrebbe essere tenuto a informare l'autorità di controllo competente. Una soglia più elevata per la notifica di una violazione dei dati all'autorità di controllo non incide sull'obbligo del titolare del trattamento di documentare la violazione conformemente all'articolo 33, paragrafo 5, del regolamento (UE) 2016/679 o sull'obbligo di essere in grado di dimostrare la propria conformità a tale regolamento, conformemente all'articolo 5, paragrafo 2, dello stesso. Al fine di agevolare il rispetto delle norme da parte dei titolari del trattamento e il ricorso a un approccio armonizzato nell'Unione, il comitato dovrebbe elaborare un modello comune per la notifica delle violazioni dei dati all'autorità di controllo competente e un elenco comune di circostanze in cui una violazione dei dati personali può presentare un rischio elevato per i diritti e le libertà di una persona fisica. La Commissione dovrebbe tenere debitamente conto della proposta elaborata dal comitato e riesaminarla, se necessario, prima dell'adozione. Per tenere conto delle nuove minacce alla sicurezza delle informazioni, il modello comune e l'elenco dovrebbero essere riesaminati almeno ogni tre anni e aggiornati ove necessario. La mancanza di un elenco comune di circostanze in cui è probabile che una violazione dei dati personali presenti un rischio elevato per i diritti e le libertà di una persona fisica non dovrebbe incidere sull'obbligo dei titolari del trattamento di notificare tali violazioni.
(40)L'articolo 35 del regolamento (UE) 2016/679 impone ai titolari del trattamento di effettuare una valutazione d'impatto sulla protezione dei dati qualora il trattamento dei dati personali possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche. Le autorità di controllo istituite ai sensi di tale regolamento sono tenute a redigere e rendere pubblico un elenco delle tipologie di trattamenti soggetti all'obbligo di una valutazione d'impatto sulla protezione dei dati. Inoltre il regolamento prevede che le autorità di controllo possano redigere e rendere pubblico un elenco delle tipologie di trattamenti per le quali non è richiesta una valutazione d'impatto sulla protezione dei dati. Al fine di contribuire efficacemente al conseguimento dell'obiettivo relativo alla convergenza delle economie e garantire effettivamente la libera circolazione dei dati personali tra gli Stati membri, aumentare la certezza del diritto, agevolare il rispetto delle norme da parte dei titolari del trattamento e assicurare un'interpretazione armonizzata della nozione di rischio elevato per i diritti e le libertà degli interessati, è opportuno fornire, al posto degli elenchi nazionali esistenti, un elenco unico dei trattamenti a livello dell'UE. Inoltre dovrebbe essere resa obbligatoria la pubblicazione, attualmente facoltativa, di un elenco delle tipologie di trattamenti per le quali non è richiesta una valutazione d'impatto sulla protezione dei dati. L'elenco dei trattamenti dovrebbe essere preparato dal comitato e adottato dalla Commissione tramite un atto di esecuzione. Al fine di agevolare il rispetto delle norme da parte dei titolari del trattamento, il comitato dovrebbe inoltre elaborare un modello comune e una metodologia comune per lo svolgimento delle valutazioni d'impatto sulla protezione dei dati, che dovranno essere adottati dalla Commissione tramite un atto di esecuzione. La Commissione dovrebbe tenere debitamente conto delle proposte elaborate dal comitato e riesaminarle, se necessario, prima dell'adozione. Al fine di tenere conto degli sviluppi tecnologici, gli elenchi e il modello e la metodologia comuni dovrebbero essere riesaminati almeno ogni tre anni e aggiornati ove necessario.
(41)Il regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio si applica al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell'Unione. La direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio si applica al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali. Il regolamento (UE) 2018/1725 e la direttiva (UE) 2016/680 dovrebbero essere allineati alle modifiche del regolamento (UE) 2016/679 introdotte dal presente regolamento.
(42)Come chiarito al considerando 5 del regolamento (UE) 2018/1725, quando le disposizioni di tale regolamento seguono gli stessi principi delle disposizioni del regolamento (UE) 2016/679, conformemente alla giurisprudenza della Corte di giustizia dell'Unione europea le disposizioni dei due regolamenti dovrebbero essere interpretate in modo omogeneo. Il regime del regolamento (UE) 2018/1725 dovrebbe essere inteso come equivalente a quello del regolamento (UE) 2016/679. Il presente regolamento modifica pertanto anche le disposizioni del regolamento (UE) 2018/1725 interessate dalle modifiche del regolamento (UE) 2016/679, nella misura in cui tali modifiche sono pertinenti anche nel contesto del trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell'Unione.
(43)Per offrire un quadro di protezione dei dati solido e coerente nell'Unione, l'adozione del presente regolamento dovrebbe essere seguita dai necessari adeguamenti della direttiva (UE) 2016/680 e di qualsiasi altro atto giuridico dell'Unione applicabile a tale trattamento dei dati personali, affinché possano essere applicati il più vicino possibile alla data di entrata in applicazione delle modifiche dei regolamenti (UE) 2016/679 e (UE) 2018/1725.
(44)La conservazione di dati personali in apparecchiature terminali o l'accesso a dati personali già conservati in tali apparecchiature e il successivo trattamento di tali dati dovrebbero essere disciplinati da un unico quadro giuridico, ossia il regolamento (UE) 2016/679, laddove l'abbonato al servizio di comunicazione elettronica o l'utente dell'apparecchiatura terminale sia una persona fisica. Le modifiche introdotte nel presente regolamento continuano a offrire i più elevati livelli di protezione dei dati personali, permettendo nel contempo agli interessati di esercitare i propri diritti e di esprimere le loro scelte online in modo più semplice. Le modifiche riguardano in particolare la conservazione delle informazioni in tali apparecchiature, l'accesso alle informazioni conservate nelle stesse o la loro raccolta che comporta il trattamento di dati personali attraverso cookie o tecnologie analoghe per ottenere informazioni dalle apparecchiature terminali. Le norme pertinenti dovrebbero inoltre applicarsi indipendentemente dal fatto che l'apparecchiatura terminale sia di proprietà della persona fisica o di un'altra persona fisica o giuridica.
La conservazione di dati personali in un'apparecchiatura terminale o l'accesso a dati personali già conservati in tale apparecchiatura dovrebbero continuare a essere consentiti solo sulla base del consenso. Analogamente all'approccio previsto dalla direttiva 2002/58/CE, tale obbligo non dovrebbe precludere la conservazione di dati personali nell'apparecchiatura terminale di una persona fisica, o l'accesso a dati personali già conservati in tale apparecchiatura, se ciò si basa sul diritto dell'Unione o degli Stati membri ai sensi dell'articolo 6 del regolamento (UE) 2016/679, soddisfa tutte le condizioni di liceità stabilite in tale disposizione ed è finalizzato al conseguimento degli obiettivi di cui all'articolo 23, paragrafo 1, del regolamento (UE) 2016/679.
Al fine di ridurre l'onere di conformità e garantire chiarezza giuridica ai titolari del trattamento, e dato che talune finalità del trattamento presentano un rischio limitato per i diritti e le libertà degli interessati o che tale trattamento può essere necessario per fornire un servizio richiesto dall'interessato, è opportuno definire un elenco restrittivo di finalità per le quali il trattamento dovrebbe essere possibile senza consenso. Per quanto riguarda la conservazione di dati personali in un'apparecchiatura terminale o l'accesso a dati personali già conservati in tale apparecchiatura e il successivo trattamento necessario per tali finalità, il presente regolamento dovrebbe pertanto prevedere che il trattamento sia lecito. Il titolare del trattamento, come un fornitore di servizi di media, può incaricare un responsabile del trattamento, come una società specializzata in ricerche di mercato, di effettuare il trattamento per suo conto.
Per il successivo trattamento dei dati personali per finalità diverse da quelle definite nell'elenco restrittivo, dovrebbero essere applicati l'articolo 6 e, se del caso, l'articolo 9 del regolamento (UE) 2016/679. Spetta al titolare del trattamento, alla luce del principio di responsabilizzazione, scegliere la base giuridica appropriata per il trattamento previsto. Per poter invocare il legittimo interesse a norma dell'articolo 6, paragrafo 1, lettera f), del regolamento (UE) 2016/679 come motivo per il successivo trattamento dei dati personali, il titolare del trattamento deve dimostrare di perseguire il proprio legittimo interesse o quello di terzi, che il trattamento è necessario per conseguire la finalità di tale legittimo interesse e che gli interessi o i diritti fondamentali dell'interessato non prevalgono sugli interessi perseguiti dal titolare del trattamento. In tale contesto, i titolari del trattamento dovrebbero prestare la massima attenzione ai seguenti elementi: l'eventualità che l'interessato sia un minore; le ragionevoli aspettative dell'interessato; l'impatto sulla persona in ragione della portata dei dati trattati o della sensibilità di tali dati; la portata del trattamento in questione, nel senso che il trattamento non può essere particolarmente esteso né in termini di quantità di dati né in termini di varietà di categorie di dati; il fatto che il trattamento dovrebbe basarsi su dati limitati a quanto necessario e che non può basarsi sul monitoraggio di ampie parti dell'attività online degli interessati e altri fattori pertinenti, a seconda dei casi. Il trattamento non dovrebbe dar luogo a un monitoraggio continuo della vita privata dell'interessato.
Qualora il titolare del trattamento non possa invocare il legittimo interesse come base giuridica per il successivo trattamento, quest'ultimo dovrebbe basarsi su una delle condizioni di cui all'articolo 6, paragrafo 1, in particolare sul consenso conformemente agli articoli 6 e 7 del regolamento (UE) 2016/679, purché siano rispettati tutti i principi previsti dal medesimo regolamento.
(45)Agli interessati che hanno rifiutato una richiesta di consenso viene spesso inviata una nuova richiesta ogni volta che consultano il servizio online dello stesso titolare del trattamento. Questo potrebbe avere effetti dannosi per gli interessati, che potrebbero dare il proprio consenso solo per evitare il ripetersi delle richieste. Il titolare del trattamento dovrebbe pertanto essere tenuto a rispettare la scelta dell'interessato di rifiutare una richiesta di consenso per almeno un determinato periodo.
(46)Gli interessati dovrebbero avere la possibilità di ricorrere a indicazioni automatizzate e leggibili da dispositivo automatico della loro scelta di accettare o rifiutare una richiesta di consenso o di opporsi al trattamento dei dati. Tali mezzi dovrebbero essere al passo con le tecnologie più avanzate. Essi possono essere implementati nelle impostazioni di un browser web, nel portafoglio europeo di identità digitale di cui al regolamento (UE) n. 910/2014 o in qualsiasi altro sistema adeguato. Le norme stabilite nel presente regolamento dovrebbero favorire lo sviluppo di soluzioni orientate al mercato dotate di interfacce adeguate. Il titolare del trattamento dovrebbe essere tenuto a rispettare le indicazioni automatizzate e leggibili da dispositivo automatico delle scelte dell'interessato una volta che saranno disponibili norme adeguate. Alla luce dell'importanza del giornalismo indipendente in una società democratica e al fine di non compromettere la base economica di tale attività, i fornitori di servizi di media non dovrebbero essere obbligati a rispettare le indicazioni leggibili da dispositivo automatico delle scelte dell'interessato. L'obbligo per i fornitori di browser web di fornire agli interessati i mezzi tecnici che consentano loro di effettuare le proprie scelte in merito al trattamento non dovrebbe pregiudicare la possibilità per i fornitori di servizi di media di richiedere il consenso degli interessati.
(47)La direttiva 2002/58/CE relativa alla vita privata e alle comunicazioni elettroniche (direttiva e-privacy), riveduta da ultimo nel 2009, fornisce un quadro di riferimento per la tutela del diritto alla vita privata, compresa la riservatezza delle comunicazioni. Tale direttiva rende inoltre più preciso il regolamento (UE) 2016/679 in relazione al trattamento dei dati personali nel contesto dei servizi di comunicazione elettronica. Essa permette di tutelare la vita privata e l'integrità dell'apparecchiatura terminale dell'utente o dell'abbonato utilizzata per tali comunicazioni. L'attuale disposizione di cui all'articolo 5, paragrafo 3, della direttiva 2002/58/CE dovrebbe rimanere applicabile nel caso in cui l'abbonato o l'utente non sia una persona fisica e le informazioni conservate o consultate non siano dati personali o ne comportino il trattamento.
(48)L'articolo 4 della direttiva 2002/58/CE dovrebbe essere abrogato. Tale articolo stabilisce obblighi per i fornitori di servizi di comunicazione elettronica accessibili al pubblico per quanto riguarda la salvaguardia della sicurezza dei loro servizi e gli obblighi di notifica. Successivamente la direttiva (UE) 2022/2555 ha stabilito nuovi obblighi riguardanti le misure di gestione dei rischi di cibersicurezza e la segnalazione degli incidenti che tali fornitori devono rispettare. Al fine di ridurre la sovrapposizione degli obblighi previsti per i soggetti del settore delle comunicazioni elettroniche, è opportuno abrogare l'articolo 4 della direttiva 2002/58/CE. Per quanto riguarda la sicurezza del trattamento dei dati personali a norma dell'articolo 4, paragrafi 1 e 1 bis, della direttiva menzionata e la notifica delle violazioni dei dati personali a norma dell'articolo 4, paragrafi da 3 a 5, della medesima direttiva, il regolamento (UE) 2016/679 prevede già norme complete e aggiornate. Tali norme dovrebbero pertanto applicarsi ai fornitori di servizi di comunicazione elettronica accessibili al pubblico e ai fornitori di reti pubbliche di comunicazione, garantendo in tal modo che ai titolari del trattamento e ai responsabili del trattamento si applichi un unico regime.
(49)Diversi atti giuridici orizzontali o settoriali dell'Unione prevedono la notifica dello stesso evento ad autorità differenti mediante mezzi e canali tecnici distinti. Il punto di accesso unico per la segnalazione degli incidenti dovrebbe consentire ai soggetti di adempiere agli obblighi di segnalazione a norma delle direttive (UE) 2022/2555 e (UE) 2022/2557 e dei regolamenti (UE) 2016/679, (UE) 2022/2554 e (UE) n. 910/2014 inviando le notifiche tramite un'unica interfaccia. Inoltre tale punto di accesso unico dovrebbe permettere ai soggetti di recuperare le informazioni precedentemente inviate utilizzando questa interfaccia, aiutandoli in tal modo a monitorare l'adempimento degli obblighi di segnalazione che sono tenuti a rispettare in relazione a incidenti specifici.
(50)Al fine di garantire la sicurezza del punto di accesso unico, l'ENISA dovrebbe adottare misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi posti alla sicurezza di tale punto di accesso unico e delle informazioni trasmesse o diffuse attraverso di esso. Nel valutare tale rischio, nonché l'adeguatezza e la proporzionalità di tali misure, l'ENISA dovrebbe tenere conto della sensibilità delle informazioni trasmesse o diffuse a norma dei pertinenti atti giuridici dell'Unione. L'ENISA dovrebbe consultare le autorità competenti a norma dei pertinenti atti giuridici dell'Unione al momento di elaborare le misure tecniche, operative e organizzative necessarie per istituire, mantenere e gestire in modo sicuro il punto di accesso unico avvalendosi dei gruppi di cooperazione e delle reti di Stati membri esistenti istituiti a norma di tali atti.
(51)Prima di consentire la notifica degli incidenti, l'ENISA dovrebbe sottoporre a sperimentazione il funzionamento del punto di accesso unico ed effettuare un test approfondito delle specificità e dei requisiti delle notifiche previsti dai pertinenti atti giuridici dell'Unione. Sulla base dei risultati della sperimentazione, la Commissione dovrebbe valutare il corretto funzionamento, l'affidabilità, l'integrità e la riservatezza del punto di accesso unico. Nell'effettuare la valutazione, la Commissione dovrebbe consultare la rete di CSIRT e le autorità competenti a norma dei pertinenti atti giuridici dell'Unione, avvalendosi dei gruppi di cooperazione e delle reti di Stati membri esistenti istituiti a norma di tali atti. Se ritiene che il corretto funzionamento, l'affidabilità, l'integrità e la riservatezza del punto di accesso unico siano garantiti, la Commissione dovrebbe pubblicare un avviso in tal senso nella Gazzetta ufficiale dell'Unione europea. Qualora la Commissione ritenga che il corretto funzionamento, l'affidabilità, l'integrità e la riservatezza non siano garantiti, l'ENISA dovrebbe adottare tutte le misure correttive necessarie, cui farà seguito una nuova valutazione da parte della Commissione.
(52)Al fine di garantire la continuità e l'interoperabilità con le soluzioni tecniche nazionali esistenti volte ad agevolare la segnalazione degli incidenti, nella misura del possibile l'ENISA dovrebbe tenere conto di tali soluzioni nell'elaborazione delle specifiche relative alle misure tecniche, operative e organizzative necessarie per istituire, mantenere e gestire in modo sicuro il punto di accesso unico. Inoltre l'ENISA dovrebbe prendere in considerazione protocolli e strumenti tecnici come le interfacce di programmazione delle applicazioni e le norme leggibili da dispositivo automatico che consentano ai soggetti di integrare gli obblighi di segnalazione nei processi operativi e alle autorità di collegare il punto di accesso unico ai loro sistemi nazionali di segnalazione.
(53)Al fine di garantire che il punto di accesso unico consenta ai soggetti pertinenti di presentare il tipo di informazioni e il formato richiesti a norma dei pertinenti atti giuridici dell'Unione, l'ENISA dovrebbe consultare la Commissione e le autorità competenti ai sensi di tali atti. Qualora un atto giuridico dell'Unione non sia pienamente armonizzato riguardo al tipo di informazioni e al formato delle notifiche, gli Stati membri dovrebbero informare l'ENISA in merito alle loro disposizioni nazionali.
(54)Sulla base del regolamento (UE) 2022/2554, il settore finanziario è stato in prima linea nell'attuazione di un quadro armonizzato, completo ed efficace, anche per quanto riguarda la segnalazione degli incidenti. Al fine di agevolare il rispetto delle norme, è opportuno allineare il quadro di segnalazione degli incidenti istituito a norma del regolamento (UE) 2022/2554 con il punto di accesso unico, garantendo nel contempo la continuità e la stabilità del quadro di segnalazione esistente e considerando che il punto di accesso unico sarà operativo quando sarà stato valutato che è possibile garantirne il corretto funzionamento, l'affidabilità, l'integrità e la riservatezza. Inoltre il regolamento (UE) 2022/2554 ha introdotto modelli di segnalazione standardizzati in grado di semplificare il contenuto delle segnalazioni di incidenti gravi connessi alle TIC nel settore finanziario. L'esperienza acquisita con l'adozione di tali modelli ha permesso di trarre informazioni preziose e di conoscere le migliori pratiche di cui si dovrebbe tenere conto quando sono specificati il tipo di informazioni, il formato e la procedura di una notifica ai fini della segnalazione al punto di accesso unico a norma delle direttive (UE) 2022/2555 e (UE) 2022/2557 o del regolamento (UE) 2016/679, a seconda dei casi. A tal fine, la Commissione dovrebbe tenere debitamente conto delle norme tecniche di regolamentazione adottate conformemente al regolamento (UE) 2022/2554, che specificano il contenuto della notifica iniziale, nonché delle relazioni intermedie e finali, relative agli incidenti gravi connessi alle TIC. Tale approccio mira a garantire la coerenza, promuovere sinergie e limitare l'onere amministrativo riducendo al minimo il numero di campi di dati che i soggetti sono tenuti a completare, assicurando in tal modo processi di segnalazione più efficienti e razionalizzati.
(55)A norma dei pertinenti atti giuridici dell'Unione, alcune informazioni specifiche sugli incidenti devono essere condivise in una fase successiva tra le autorità competenti al fine di garantire una sorveglianza e un coordinamento efficaci. Il punto di accesso unico dovrebbe pertanto essere concepito in modo da consentire e favorire lo scambio di informazioni a tale livello nel quadro di ciascun atto giuridico pertinente dell'Unione, garantendo la condivisione sicura, tempestiva ed efficiente di flussi di dati adeguati tra le autorità, qualora gli Stati membri decidano di avvalersi di tale funzionalità aggiuntiva.
(56)Al fine di garantire che la segnalazione degli incidenti sia effettuata tramite il punto di accesso unico, è pertanto opportuno modificare di conseguenza le direttive (UE) 2022/2555 e (UE) 2022/2557 e i regolamenti (UE) 2016/679, (UE) 2022/2554e (UE) n. 910/2014. Il punto di accesso unico dovrebbe iniziare a essere utilizzato ai fini della segnalazione a norma di tali atti entro 18 mesi dall'entrata in vigore del presente regolamento. Se la Commissione avvia i meccanismi di avviso che posticipano la data di applicazione a 24 mesi dall'entrata in vigore del regolamento, è opportuno che le corrispondenti disposizioni delle direttive (UE) 2022/2555 e (UE) 2022/2557 e dei regolamenti (UE) n. 910/2014 e (UE) 2022/2554 continuino ad applicarsi al fine di soddisfare gli obblighi di segnalazione stabiliti nelle disposizioni.
(57)Nel caso eccezionale in cui un impedimento tecnico non dovesse consentire la trasmissione delle notifiche degli incidenti tramite il punto di accesso unico, i soggetti dovrebbero adempiere ai loro obblighi di segnalazione ricorrendo a mezzi alternativi. A tal fine, i destinatari delle notifiche degli incidenti a norma dei pertinenti atti giuridici dell'Unione dovrebbero garantire di poterle ricevere attraverso mezzi alternativi e dovrebbero rendere pubbliche le informazioni riguardanti tali mezzi.
(58)Conformemente all'articolo 42, paragrafo 1, del regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, il Garante europeo della protezione dei dati è stato consultato e ha formulato il suo parere il [DATA]. Conformemente all'articolo 42, paragrafo 2, del regolamento (UE) 2018/1725, il comitato europeo per la protezione dei dati è stato consultato e ha formulato il suo parere il [DATA].
(59)Il regolamento (UE) 2019/1150 stabilisce una serie mirata di norme vincolanti a livello dell'Unione al fine di garantire un contesto commerciale online equo, prevedibile, sostenibile e sicuro nell'ambito del mercato interno. I regolamenti (UE) 2022/2065 e (UE) 2022/1925 forniscono un quadro normativo completo al fine di garantire ambienti online sicuri, prevedibili e affidabili per tutti gli utenti finali dei servizi online e stabiliscono condizioni di parità per le imprese nei mercati digitali. Al fine di semplificare la legislazione dell'Unione nel settore dei servizi di intermediazione online e delle piattaforme online, e dato che gli obiettivi e le disposizioni essenziali del regolamento sulle relazioni piattaforme/imprese sono in gran parte contemplati dal regolamento sui servizi digitali e dal regolamento sui mercati digitali, è opportuno abrogare il regolamento (UE) 2019/1050. I regolamenti (UE) 2022/2065 e (UE) 2022/1925 contribuiscono a definire un quadro normativo pienamente armonizzato per i servizi digitali e i mercati digitali, ravvicinando le misure nazionali riguardanti gli obblighi dei prestatori di servizi intermediari nonché la contendibilità e l'equità dei servizi di piattaforma di base forniti dai gatekeeper. Ai fini della certezza del diritto, alcune definizioni specifiche di cui all'articolo 2, le disposizioni riguardanti le limitazioni e le sospensioni di cui all'articolo 4 e quelle relative al sistema interno di gestione dei reclami di cui all'articolo 11 del regolamento (UE) 2019/1150, cui fanno riferimento altri atti giuridici, in particolare la direttiva (UE) 2023/2831 relativa al miglioramento delle condizioni di lavoro nel lavoro mediante piattaforme digitali, e l'articolo 15 che garantisce l'applicazione del regolamento rimarranno temporaneamente in vigore fino a quando gli atti originari non saranno modificati.
(60)Data la natura tecnica delle modifiche proposte nel presente regolamento e l'urgenza di garantire un quadro giuridico semplificato, è opportuno che il presente regolamento entri in vigore immediatamente dopo la pubblicazione nella Gazzetta ufficiale dell'Unione europea. Se del caso, dovrebbero essere previsti periodi transitori affinché gli Stati membri e i soggetti regolamentati si adeguino alle norme,
HANNO ADOTTATO IL PRESENTE REGOLAMENTO:
Articolo 1
Modifiche del regolamento (UE) 2023/2854
Il regolamento (UE) 2023/2854 è così modificato:
1.l'articolo 1 è così modificato:
(a)al paragrafo 1 sono inserite le lettere seguenti:
"e bis) la registrazione volontaria dei servizi di intermediazione dei dati;
e ter) la registrazione volontaria delle entità che raccolgono e trattano i dati messi a disposizione a fini altruistici;
e quater) l'istituzione di un comitato europeo per l'innovazione in materia di dati;
e quinquies) gli obblighi di localizzazione dei dati e la messa a disposizione dei dati alle autorità competenti;
e sexies) il riutilizzo di determinati dati e documenti detenuti da enti pubblici o da talune imprese pubbliche, nonché di dati della ricerca;";
(b)al paragrafo 2 sono aggiunte le lettere seguenti:
"g) il capo VII bis si applica ai dati personali e non personali;
h) il capo VII ter si applica a tutti i dati non personali;
i) il capo VII quater si applica ai dati personali e non personali, vale a dire:
i) ai documenti detenuti da enti pubblici degli Stati membri di cui
1)all'articolo 32 decies, paragrafo 1, lettera a), o da imprese pubbliche di cui
2)all'articolo 32 decies, paragrafo 1, lettera b);
ii) ai dati della ricerca di cui all'articolo 32 decies, paragrafo 1, lettera c);
iii) a determinate categorie di dati protetti di cui all'articolo 32 decies, paragrafo 1, lettera a).";
(c)al paragrafo 3, la lettera g) è sostituita dalla seguente:
"g) ai partecipanti agli spazi di dati.";
(d)il paragrafo 7 è soppresso;
(e)sono aggiunti i paragrafi 11, 12 e 13 seguenti:
"11. Il capo VII ter del presente regolamento fa salve le disposizioni legislative, regolamentari e amministrative relative all'organizzazione interna degli Stati membri che assegnano tra autorità pubbliche e organismi di diritto pubblico poteri e responsabilità in materia di trattamento dei dati senza remunerazione contrattuale di soggetti privati nonché le disposizioni legislative, regolamentari e amministrative degli Stati membri che regolano l'esercizio di tali poteri e responsabilità.
12. Qualora una normativa settoriale dell'Unione o nazionale imponga agli enti pubblici, ai fornitori di servizi di intermediazione dei dati o alle organizzazioni per l'altruismo dei dati riconosciute di rispettare specifici requisiti tecnici, amministrativi o organizzativi aggiuntivi che si riferiscono ai capi VII bis e VII ter, anche attraverso un regime di autorizzazione o certificazione, si applicano anche le pertinenti disposizioni di tale normativa settoriale dell'Unione o nazionale. Eventuali requisiti specifici aggiuntivi sono non discriminatori, proporzionati e oggettivamente giustificati.
13. Per quanto riguarda i dati e i documenti che rientrano nell'ambito di applicazione del capo VII quater, sezione 2, del presente regolamento, tale capo non pregiudica la possibilità per gli Stati membri di adottare norme più dettagliate o più rigorose, a condizione che tali norme consentano un più ampio riutilizzo di dati e documenti.";
2.L'articolo 2 è così modificato:
(a)sono inseriti i punti 4 bis), 4 ter) e 4 quater) seguenti:
"4 bis) "consenso": il consenso quale definito all'articolo 4, punto 11), del regolamento (UE) 2016/679;
4 ter) "autorizzazione": il conferimento agli utenti dei dati del diritto al trattamento dei dati non personali;
4 quater) "accesso": l'utilizzo dei dati, conformemente a specifici requisiti tecnici, giuridici o organizzativi, che non implica necessariamente la trasmissione o lo scaricamento di dati;";
(b)il punto 13) è sostituito dal seguente:
"13) "titolare dei dati": una persona fisica o giuridica che ha il diritto o l'obbligo, conformemente al presente regolamento, al diritto applicabile dell'Unione o alla legislazione nazionale adottata conformemente al diritto dell'Unione, di utilizzare o mettere a disposizione dati, compresi, se concordato contrattualmente, dati del prodotto o di un servizio correlato che ha reperito o generato nel corso della fornitura di un servizio correlato;";
(c)sono inseriti i punti 28 bis) e 28 ter) seguenti:
"28 bis) "organismi di diritto pubblico": gli organismi che hanno tutte le seguenti caratteristiche:
a)sono istituiti per soddisfare specificatamente esigenze di interesse generale, aventi carattere non industriale o commerciale;
b)sono dotati di personalità giuridica;
c)le loro attività sono finanziate in modo maggioritario dallo Stato, da autorità regionali o locali o da altri organismi di diritto pubblico, o la loro gestione è soggetta al controllo di tali autorità o organismi, oppure sono dotati di un organo di amministrazione, di direzione o di vigilanza in cui più della metà dei membri è designata dallo Stato, da autorità regionali o locali o da altri organismi di diritto pubblico;
28 ter) "impresa pubblica": qualsiasi impresa su cui un ente pubblico può esercitare, direttamente o indirettamente, un'influenza dominante perché ne è proprietario, vi ha una partecipazione finanziaria, o in virtù di norme che disciplinano l'impresa in questione. Si presume che vi sia influenza dominante di enti pubblici in tutti i casi seguenti in cui tali organismi, direttamente o indirettamente:
a)detengono la maggioranza del capitale sottoscritto dall'impresa;
b)controllano la maggioranza dei voti cui danno diritto le azioni emesse dall'impresa;
c)possono designare più della metà dei membri dell'organo di amministrazione, di direzione o di vigilanza dell'impresa;";
(d)sono inseriti i punti 38 bis) e 38 ter) seguenti:
"38 bis) "servizio di intermediazione dei dati": un servizio che mira a instaurare, attraverso strumenti tecnici, giuridici o di altro tipo, rapporti di natura economica ai fini della condivisione dei dati tra un numero indeterminato di interessati o di titolari dei dati e utenti dei dati, anche al fine dell'esercizio dei diritti degli interessati in relazione ai dati personali, e che:
1) non ha come scopo principale l'intermediazione di contenuti protetti dal diritto d'autore;
2)non è acquisito congiuntamente da più persone giuridiche affinché ne facciano un uso esclusivo;
38 ter) "altruismo dei dati": la condivisione volontaria di dati sulla base del consenso accordato dagli interessati al trattamento dei dati personali che li riguardano, o delle autorizzazioni dei titolari dei dati volte a consentire l'uso dei loro dati non personali, senza la richiesta o la ricezione di un compenso che vada oltre la compensazione dei costi sostenuti per mettere a disposizione i propri dati, per obiettivi di interesse generale, stabiliti nel diritto nazionale, ove applicabile, quali l'assistenza sanitaria, la lotta ai cambiamenti climatici, il miglioramento della mobilità, l'agevolazione dell'elaborazione, della produzione e della divulgazione di statistiche ufficiali, il miglioramento della fornitura dei servizi pubblici, l'elaborazione delle politiche pubbliche o la ricerca scientifica nell'interesse generale;"
(e)sono aggiunti i punti da 44) a 63) seguenti:
"44) "media impresa": una media impresa quale definita all'allegato I, articolo 2, della raccomandazione 2003/361/CE;
45) "piccola impresa a media capitalizzazione": una piccola impresa a media capitalizzazione quale definita all'allegato, punto 2, della raccomandazione (UE) 2025/1099 della Commissione;
46) "università": un ente pubblico che fornisce istruzione post-secondaria superiore che conduce a titoli di studio accademici;
47) "licenza standard": una serie di condizioni predefinite di riutilizzo in formato digitale, di preferenza compatibili con le licenze pubbliche standardizzate disponibili online;
48) "documento":
a) qualsiasi contenuto non digitale a prescindere dal suo supporto (cartaceo o registrazione sonora, visiva o audiovisiva); oppure
b) qualsiasi parte di tale contenuto;
50) "dati dinamici": dati e documenti in formato digitale, soggetti ad aggiornamenti frequenti o in tempo reale, in particolare a causa della loro volatilità o rapida obsolescenza; i dati generati da sensori sono solitamente considerati dati dinamici;
51) "dati della ricerca": dati, diversi dalle pubblicazioni scientifiche, raccolti o prodotti nel corso della ricerca scientifica e utilizzati come elementi di prova nel processo di ricerca, o comunemente accettati nella comunità di ricerca come necessari per convalidare le conclusioni e i risultati della ricerca;
52) "riutilizzo": l'uso, da parte di persone fisiche o giuridiche, di documenti detenuti da:
a)enti pubblici a fini commerciali o non commerciali diversi dallo scopo iniziale nell'ambito dei compiti di servizio pubblico per i quali i documenti sono stati prodotti, fatta eccezione per lo scambio di documenti tra enti pubblici esclusivamente in adempimento dei loro compiti di servizio pubblico; oppure
b)imprese pubbliche, di cui al capo VII quater, sezione 2, a fini commerciali o non commerciali diversi dallo scopo iniziale di fornire i servizi di interesse generale per i quali i documenti sono stati prodotti, fatta eccezione per lo scambio di documenti tra imprese pubbliche ed enti pubblici esclusivamente in adempimento dei compiti di servizio pubblico degli enti pubblici;
53) "serie di dati di elevato valore": dati e documenti il cui riutilizzo è associato a importanti benefici per la società, l'ambiente e l'economia, in particolare in considerazione della loro idoneità per la creazione di servizi e applicazioni a valore aggiunto e nuovi posti di lavoro dignitosi e di alta qualità, nonché del numero dei potenziali beneficiari dei servizi e delle applicazioni a valore aggiunto basati su tali dati e documenti;
54) "determinate categorie di dati protetti": dati e documenti detenuti da enti pubblici che sono protetti per motivi di:
a)riservatezza commerciale, compresi i segreti commerciali, professionali o d'impresa;
b)riservatezza statistica;
c)protezione dei diritti di proprietà intellettuale di terzi; oppure
d)protezione dei dati personali, nella misura in cui tali dati non rientrano nell'ambito di applicazione del capo VII quater, sezione 2;
56) "ambiente di trattamento sicuro": l'ambiente fisico o virtuale e i mezzi organizzativi per garantire la conformità al diritto dell'Unione, in particolare per quanto riguarda i diritti degli interessati, i diritti di proprietà intellettuale e la riservatezza commerciale e statistica, l'integrità e l'accessibilità, nonché al diritto nazionale applicabile, e per consentire all'entità che fornisce l'ambiente di trattamento sicuro di determinare e controllare tutte le azioni di trattamento dei dati, compresi la visualizzazione, la conservazione, lo scaricamento, l'esportazione dei dati e il calcolo dei dati derivati mediante algoritmi computazionali;
57) "riutilizzatore": la persona fisica o giuridica cui è stato concesso il diritto di riutilizzare dati o documenti detenuti da un ente pubblico o da un'impresa pubblica a norma del capo VII quater o di consultare dati o determinate categorie di dati protetti;
58) "formato leggibile da dispositivo automatico": un formato di file strutturato in modo tale da consentire alle applicazioni software di individuare, riconoscere ed estrarre facilmente dati specifici, comprese dichiarazioni individuali di fatto e la loro struttura interna;
59) "formato aperto": un formato di file indipendente dalla piattaforma e messo a disposizione del pubblico senza restrizioni che impediscano il riutilizzo dei documenti;
60) "standard formale aperto": uno standard che è stato definito in forma scritta e che precisa in dettaglio i requisiti per assicurare l'interoperabilità del software;
61) "utile ragionevole sugli investimenti": una percentuale della tariffa complessiva, in aggiunta all'importo necessario per recuperare i costi ammissibili, non superiore a cinque punti percentuali oltre il tasso di interesse fisso della BCE;
62) "obbligo di localizzazione dei dati": qualsiasi obbligo, divieto, condizione, limite o altro requisito, previsto dalle disposizioni legislative, regolamentari o amministrative di uno Stato membro o risultante dalle prassi amministrative generali e coerenti in uno Stato membro e negli organismi di diritto pubblico, anche nell'ambito degli appalti pubblici, fatta salva la direttiva 2014/24/UE, che impone di effettuare il trattamento di dati nel territorio di un determinato Stato membro o che ostacola il trattamento di dati in un altro Stato membro;
63) "pseudonimizzazione": pseudonimizzazione quale definita all'articolo 4, punto 5), del regolamento (UE) 2016/679.";
3.all'articolo 4, il paragrafo 8 è sostituito dal seguente:
"8. In circostanze eccezionali, qualora il titolare dei dati che è detentore di un segreto commerciale possa dimostrare che, malgrado le misure tecniche e organizzative adottate dall'utente a norma del paragrafo 6 del presente articolo, subirà molto probabilmente gravi danni economici a causa della divulgazione di segreti commerciali o che la divulgazione di segreti commerciali all'utente presenta un rischio elevato di acquisizione, utilizzo o divulgazione illeciti a entità di paesi terzi, o a soggetti stabiliti nell'Unione sotto il controllo diretto o indiretto di tali entità, soggette a giurisdizioni che offrono una protezione più debole o non equivalente rispetto a quella prevista dal diritto dell'Unione, tale titolare dei dati può rifiutare, a seconda dei casi, una richiesta di accesso ai dati specifici in questione. Tale dimostrazione è debitamente motivata sulla base di elementi oggettivi, come l'applicabilità della protezione dei segreti commerciali in paesi terzi, la natura e il livello di riservatezza dei dati richiesti nonché l'unicità e la novità del prodotto connesso, ed è fornita per iscritto all'utente senza indebito ritardo. Qualora rifiuti di condividere i dati a norma del presente paragrafo, il titolare dei dati notifica l'autorità competente designata a norma dell'articolo 37.";
4.all'articolo 5, il paragrafo 11 è sostituito dal seguente:
"11. In circostanze eccezionali, qualora il titolare dei dati che è detentore di un segreto commerciale possa dimostrare che, malgrado le misure tecniche e organizzative adottate dal terzo a norma del paragrafo 9 del presente articolo, subirà molto probabilmente gravi danni economici a causa della divulgazione di segreti commerciali o che la divulgazione di segreti commerciali al terzo presenta un rischio elevato di acquisizione, utilizzo o divulgazione illeciti a entità di paesi terzi, o a soggetti stabiliti nell'Unione sotto il controllo diretto o indiretto di tali entità, soggette a giurisdizioni che offrono una protezione più debole o non equivalente rispetto a quella prevista dal diritto dell'Unione, tale titolare dei dati può rifiutare, a seconda dei casi, una richiesta di accesso ai dati specifici in questione. Tale dimostrazione è debitamente motivata sulla base di elementi oggettivi, come l'applicabilità della protezione dei segreti commerciali in paesi terzi, la natura e il livello di riservatezza dei dati richiesti nonché l'unicità e la novità del prodotto connesso, ed è fornita per iscritto al terzo senza indebito ritardo. Qualora rifiuti di condividere i dati a norma del presente paragrafo, il titolare dei dati notifica l'autorità competente designata a norma dell'articolo 37.";
5.il titolo del capo V è sostituito dal seguente:
"METTERE I DATI A DISPOSIZIONE DI ENTI PUBBLICI, DELLA COMMISSIONE, DELLA BANCA CENTRALE EUROPEA E DI ORGANISMI DELL'UNIONE SULLA BASE DI UN'EMERGENZA PUBBLICA";
6.gli articoli 14 e 15 sono soppressi;
7.è inserito il seguente articolo 15 bis:
"Articolo 15 bis
Obbligo per i titolari dei dati di mettere a disposizione dati sulla base di un'emergenza pubblica
1.Qualora dimostri la necessità eccezionale di utilizzare determinati dati per svolgere le proprie funzioni statutarie nell'interesse pubblico al fine di rispondere a un'emergenza pubblica, attenuarla o sostenere la ripresa dalla stessa, un ente pubblico, la Commissione, la Banca centrale europea o un organismo dell'Unione può chiedere ai titolari dei dati che sono persone giuridiche diverse dagli enti pubblici di mettere a disposizione tali dati, compresi i metadati necessari per interpretarli e utilizzarli. Sulla base di tale richiesta debitamente motivata, i titolari dei dati mettono i dati e i metadati a disposizione dell'ente pubblico richiedente, della Commissione, della Banca centrale europea o dell'organismo dell'Unione. Tali richieste possono essere presentate anche qualora sia necessaria la produzione di statistiche ufficiali in relazione a un'emergenza pubblica.
2.Qualora i dati richiesti siano necessari per rispondere a un'emergenza pubblica e l'organismo richiedente a norma del paragrafo 1 non sia in grado di ottenerli con altri mezzi in modo tempestivo ed efficace a condizioni equivalenti, la richiesta riguarderà dati non personali. Qualora i dati non personali forniti non siano sufficienti a far fronte all'emergenza pubblica, possono essere richiesti anche dati personali, messi a disposizione, ove possibile, in forma pseudonimizzata, previa adozione di adeguate misure tecniche e organizzative per garantirne la protezione.
3.Qualora i dati richiesti siano necessari per attenuare un'emergenza pubblica o sostenere la ripresa dalla stessa, l'organismo richiedente a norma del paragrafo 1 può richiedere, sulla base del diritto dell'Unione o nazionale, dati non personali specifici, in mancanza dei quali non sarebbe in grado di attenuare tale emergenza pubblica o sostenere la ripresa dalla stessa. Tali richieste non sono presentate né alle microimprese né alle piccole imprese.";
8.all'articolo 16, il paragrafo 2 è sostituito dal seguente:
"2. Il presente capo non si applica alle attività svolte da enti pubblici, dalla Commissione, dalla Banca centrale europea o da organismi dell'Unione che riguardano la prevenzione, l'indagine, l'accertamento o il perseguimento di reati penali o amministrativi o l'esecuzione di sanzioni penali, né all'amministrazione doganale o tributaria. Il presente capo lascia impregiudicato il diritto dell'Unione o nazionale che disciplina tali attività.";
9.l'articolo 17 è così modificato:
a)
il paragrafo 1 è così modificato:
i) la frase introduttiva è sostituita dalla seguente:
"Se richiede dati a norma dell'articolo 15 bis, un ente pubblico, la Commissione, la Banca centrale europea o un organismo dell'Unione:";
ii) le lettere b) e c) sono sostituite dalle seguenti:
"b) dimostra che sono soddisfatte le condizioni per presentare una richiesta a norma dell'articolo 15 bis;
c) spiega la finalità della richiesta, l'utilizzo previsto dei dati richiesti, compreso, se del caso, da parte di un terzo in conformità del paragrafo 4 del presente articolo, la durata di tale utilizzo e, se pertinente, le modalità con cui il trattamento dei dati personali risponderà all'emergenza pubblica;";
b)
il paragrafo 2 è così modificato:
i) la lettera c) è sostituita dalla seguente:
"c) è proporzionata all'emergenza pubblica e debitamente giustificata, per quanto riguarda la granularità e il volume dei dati richiesti e la frequenza di accesso ai dati richiesti;";
ii) la lettera e) è soppressa;
c)
i paragrafi 5 e 6 sono soppressi;
10.l'articolo 18 è così modificato:
a)
al paragrafo 2, la frase introduttiva è sostituita dalla seguente:
"2. Fatte salve le esigenze specifiche relative alla disponibilità dei dati definite nel diritto dell'Unione o nazionale, un titolare dei dati può rifiutare o chiedere la modifica di una richiesta di mettere i dati a disposizione anorma del presente capo senza indebito ritardo e, in ogni caso, entro cinque giorni lavorativi dal ricevimento di una richiesta a norma dell'articolo 15 bis, paragrafo 2, e senza indebito ritardo e, in ogni caso, entro 30 giorni lavorativi dal ricevimento di una richiesta a norma dell'articolo 15 bis, paragrafo 3, per uno dei motivi seguenti:";
b)
il paragrafo 5 è soppresso;
11.l'articolo 19 è così modificato:
a) al paragrafo 1, la frase introduttiva è sostituita dalla seguente:
"Un ente pubblico, la Commissione, la Banca centrale europea o un organismo dell'Unione che riceve dati in seguito a una richiesta presentata a norma dell'articolo 15 bis:";
b) il paragrafo 3 è sostituito dal seguente:
"3. La divulgazione di segreti commerciali a un ente pubblico, alla Commissione, alla Banca centrale europea o a un organismo dell'Unione è obbligatoria solo nella misura strettamente necessaria per conseguire lo scopo di una richiesta a norma dell'articolo 15 bis. In tali casi, il titolare dei dati o, qualora non si tratti della stessa persona, il detentore del segreto commerciale individua i dati protetti quali segreti commerciali, compresi i pertinenti metadati. L'ente pubblico, la Commissione, la Banca centrale europea o l'organismo dell'Unione adotta, prima della divulgazione di segreti commerciali, tutte le misure tecniche e organizzative necessarie e adeguate per preservare la riservatezza dei segreti commerciali, ivi compreso, se del caso, l'uso di clausole contrattuali tipo, norme tecniche e l'applicazione di codici di condotta.";
12.l'articolo 20 è sostituito dal seguente:
"Articolo 20
Compenso per la messa a disposizione dei dati a norma del capo V
1. I titolari dei dati mettono a disposizione a titolo gratuito i dati necessari per rispondere a un'emergenza pubblica a norma dell'articolo 15 bis, paragrafo 2. L'ente pubblico, la Commissione, la Banca centrale europea o l'organismo dell'Unione che ha ricevuto i dati fornisce un riconoscimento pubblico al titolare dei dati se richiesto da quest'ultimo.
2. Il titolare dei dati ha diritto a un compenso equo per la messa a disposizione dei dati al fine di soddisfare una richiesta presentata a norma dell'articolo 15 bis, paragrafo 3. Tale compenso copre i costi tecnici e organizzativi sostenuti per soddisfare la richiesta, compresi, se del caso, i costi di anonimizzazione, pseudonimizzazione, aggregazione e adattamento tecnico, e un margine ragionevole. Su richiesta dell'ente pubblico, della Commissione, della Banca centrale europea o dell'organismo dell'Unione, il titolare dei dati fornisce informazioni sulla base per il calcolo dei costi e del margine ragionevole.
3. In deroga al paragrafo 1 del presente articolo, un titolare dei dati che è una microimpresa o una piccola impresa può chiedere un compenso per la messa a disposizione dei dati in risposta a una richiesta a norma dell'articolo 15 bis, paragrafo 2, conformemente alle condizioni di cui al paragrafo 2 del presente articolo.
4. I titolari dei dati non hanno diritto a un compenso per la messa a disposizione dei dati al fine di soddisfare una richiesta presentata a norma dell'articolo 15 bis, paragrafo 3, se il compito specifico svolto nell'interesse pubblico è la produzione di statistiche ufficiali e se il diritto nazionale non consente l'acquisto di dati. Se il diritto nazionale non consente l'acquisto di dati per la produzione di statistiche ufficiali, gli Stati membri lo notificano alla Commissione.";
13.l'articolo 21 è così modificato:
a) il titolo è sostituito dal seguente:
"Condivisione dei dati ottenuti nel contesto di un'emergenza pubblica con organismi di ricerca o istituti statistici";
b) il paragrafo 5 è sostituito dal seguente:
"5. Se intende trasmettere o mettere a disposizione dati a norma del paragrafo 1, un ente pubblico, la Commissione, la Banca centrale europea o un organismo dell'Unione ne informa senza indebito ritardo il titolare dei dati che li ha trasmessi, indicando:
a)l'identità e i dati di contatto dell'organizzazione o della persona che riceve i dati;
b)la finalità della trasmissione o della messa a disposizione dei dati;
c)il periodo per il quale i dati devono essere utilizzati e le misure tecniche di protezione;
d)le misure organizzative adottate, compresi i casi in cui si tratta di dati personali o segreti commerciali.";
14.prima del capo VI è inserito l'articolo 22 bis seguente:
"Articolo 22 bis
Diritto di presentare un reclamo
Qualora sorga una controversia in merito a una richiesta di dati a norma dell'articolo 15 bis, che riguardi casi di rifiuto e di modifica, il livello di compenso oppure la trasmissione o la messa a disposizione dei dati, il titolare dei dati, l'ente pubblico, la Commissione, la Banca centrale europea o l'organismo dell'Unione può presentare un reclamo all'autorità competente, designata a norma dell'articolo 37, dello Stato membro in cui è stabilito il titolare dei dati.";
15.all'articolo 31 sono inseriti i paragrafi 1 bis e 1 ter seguenti:
"1 bis. Gli obblighi di cui al capo VI, ad eccezione dell'articolo 29, e all'articolo 34 non si applicano ai servizi di trattamento dei dati diversi da quelli di cui all'articolo 30, paragrafo 1, qualora la maggior parte delle caratteristiche e delle funzionalità del servizio di trattamento dei dati sia stata adattata dal fornitore alle esigenze specifiche del cliente, se la fornitura di tali servizi si basa su un contratto concluso il 12 settembre 2025 o anteriormente.
Il fornitore di tali servizi di trattamento dei dati non è tenuto a rinegoziare o modificare un contratto per la fornitura di tali servizi prima della sua scadenza se tale contratto è stato concluso il 12 settembre 2025 o anteriormente. Qualsiasi disposizione contrattuale contenuta in tale contratto che sia in contrasto con l'articolo 29, paragrafo 1, 2 o 3, è considerata nulla e priva di effetti.
1 ter. Il fornitore di un servizio di trattamento dei dati può includere disposizioni relative a sanzioni proporzionate in caso di risoluzione anticipata in un contratto di durata fissa per la fornitura di servizi di trattamento dei dati diversi da quelli di cui all'articolo 30, paragrafo 1.
Se il fornitore di servizi di trattamento dei dati è una piccola e media impresa o una piccola impresa a media capitalizzazione, gli obblighi di cui al capo VI, ad eccezione dell'articolo 29, e all'articolo 34 non si applicano ai servizi di trattamento dei dati diversi da quelli di cui all'articolo 30, paragrafo 1, se la fornitura di tali servizi si basa su un contratto concluso il 12 settembre 2025 o anteriormente.
Se è una piccola e media impresa o una piccola impresa a media capitalizzazione, il fornitore di un servizio di trattamento dei dati non è tenuto a rinegoziare o a modificare un contratto per la fornitura di un servizio di trattamento dei dati diverso da quelli di cui all'articolo 30, paragrafo 1, prima della sua scadenza se tale contratto è stato concluso il 12 settembre 2025 o anteriormente. Qualsiasi disposizione contrattuale contenuta in tale contratto che sia in contrasto con l'articolo 29, paragrafo 1, 2 o 3, è considerata nulla e priva di effetti.";
16.l'articolo 32 è così modificato:
a) i paragrafi 1 e 2 sono sostituiti dai seguenti:
"1. Fatto salvo il paragrafo 2 o 3, i fornitori di servizi di trattamento dei dati, l'ente pubblico che mette a disposizione dati o documenti conformemente al capo VII quater, sezione 3, la persona fisica o giuridica cui è stato concesso il diritto di riutilizzare i dati o i documenti conformemente al capo VII quater, sezione 3, un fornitore di servizi di intermediazione dei dati o un'organizzazione per l'altruismo dei dati riconosciuta adottano tutte le misure tecniche, organizzative e giuridiche adeguate, compresa la stipula di contratti, al fine di impedire l'accesso governativo internazionale e di paesi terzi ai dati non personali detenuti nell'Unione e il trasferimento di tali dati nei casi in cui tale trasferimento o accesso creerebbe un conflitto con il diritto dell'Unione o con il diritto nazionale dello Stato membro interessato.
2. Le decisioni o le sentenze di un organo giurisdizionale di un paese terzo e le decisioni di un'autorità amministrativa di un paese terzo che obbligano un fornitore di servizi di trattamento dei dati, l'ente pubblico che mette a disposizione dati o documenti conformemente al capo VII quater, sezione 3, la persona fisica o giuridica cui è stato concesso il diritto di riutilizzare i dati o i documenti conformemente al capo VII quater, sezione 3, un fornitore di servizi di intermediazione dei dati o un'organizzazione per l'altruismo dei dati riconosciuta a trasferire dati non personali detenuti nell'Unione che rientrano nell'ambito di applicazione del presente regolamento o a concedervi l'accesso sono riconosciute o assumono qualsivoglia carattere esecutivo soltanto se basate su un accordo internazionale in vigore tra il paese terzo richiedente e l'Unione, ad esempio un trattato di mutua assistenza giudiziaria, o su qualsiasi accordo analogo tra il paese terzo richiedente e uno Stato membro.";
b) al paragrafo 3, primo comma, la frase introduttiva è sostituita dalla seguente:
"3. In assenza di un accordo internazionale di cui al paragrafo 2, se un fornitore di servizi di trattamento dei dati, l'ente pubblico che mette a disposizione dati o documenti conformemente al capo VII quater, sezione 3, la persona fisica o giuridica cui è stato concesso il diritto di riutilizzare i dati o i documenti conformemente al capo VII quater, sezione 3, un fornitore di servizi di intermediazione dei dati o un'organizzazione per l'altruismo dei dati riconosciuta è destinatario di una decisione o sentenza di un organo giurisdizionale di un paese terzo o di una decisione di un'autorità amministrativa di un paese terzo che prevede il trasferimento di dati non personali detenuti nell'Unione che rientrano nell'ambito di applicazione del presente regolamento o la concessione dell'accesso a tali dati, e il rispetto di tale decisione o sentenza rischiasse di porre il destinatario in conflitto con il diritto dell'Unione o con il diritto nazionale dello Stato membro interessato, il trasferimento di tali dati o l'accesso agli stessi da parte di tale autorità del paese terzo ha luogo solo se:";
c) i paragrafi 4 e 5 sono sostituiti dai seguenti:
"4. Se sono soddisfatte le condizioni di cui al paragrafo 2 o 3, il fornitore di servizi di trattamento dei dati, l'ente pubblico che mette a disposizione dati o documenti conformemente al capo VII quater, sezione 3, la persona fisica o giuridica cui è stato concesso il diritto di riutilizzare i dati o i documenti conformemente al capo VII quater, sezione 3, il fornitore di servizi di intermediazione dei dati o l'organizzazione per l'altruismo dei dati riconosciuta fornisce la quantità minima di dati ammissibile in risposta a una richiesta, sulla base dell'interpretazione ragionevole di tale richiesta da parte del fornitore oppure dell'organismo o dell'autorità nazionale competente di cui al paragrafo 3, secondo comma.
5. Il fornitore di servizi di trattamento dei dati, l'ente pubblico che mette a disposizione dati o documenti conformemente al capo VII quater, sezione 3, la persona fisica o giuridica cui è stato concesso il diritto di riutilizzare i dati o i documenti conformemente al capo VII quater, sezione 3, il fornitore di servizi di intermediazione dei dati o l'organizzazione per l'altruismo dei dati riconosciuta informa la persona fisica o giuridica i cui diritti e interessi potrebbero essere lesi dell'esistenza di una richiesta di accesso ai suoi dati da parte di un'autorità di un paese terzo prima di soddisfare tale richiesta, tranne nel caso in cui la richiesta abbia fini di contrasto e per il tempo necessario a preservare l'efficacia dell'attività di contrasto.";
17.l'articolo 36 è soppresso;
18.sono inseriti i capi VII bis, VII ter e VII quater seguenti:
"CAPO VII bis
Servizi di intermediazione dei dati
e organizzazioni per l'altruismo dei dati
Articolo 32 bis
Registri pubblici dell'Unione
1.La Commissione tiene e aggiorna regolarmente registri pubblici dell'Unione riguardanti:
a)i fornitori di servizi di intermediazione dei dati riconosciuti e
b)le organizzazioni per l'altruismo dei dati riconosciute.
2.I fornitori di servizi di intermediazione dei dati registrati nel registro pubblico dell'Unione di cui al paragrafo 1, lettera a), possono utilizzare il titolo "fornitore di servizi di intermediazione dei dati riconosciuto nell'Unione" nelle proprie comunicazioni scritte e orali, nonché il logo comune di cui al paragrafo 4.
3.Le organizzazioni per l'altruismo dei dati registrate nel registro pubblico dell'Unione di cui al paragrafo 1, lettera b), possono utilizzare il titolo "organizzazione per l'altruismo dei dati riconosciuta nell'Unione" nelle proprie comunicazioni scritte e orali, nonché il logo comune di cui al paragrafo 4.
4.Per garantire che i fornitori di servizi di intermediazione dei dati riconosciuti nell'Unione siano facilmente identificabili in tutta l'Unione, la Commissione ha il potere di adottare atti di esecuzione che stabiliscano un disegno per il logo comune. Tali atti di esecuzione sono adottati secondo la procedura consultiva di cui all'articolo 46, paragrafo 1 bis.
Articolo 32 ter
Autorità competenti per la registrazione dei fornitori di servizi di intermediazione dei dati e delle organizzazioni per l'altruismo dei dati
1.Ciascuno Stato membro designa una o più autorità competenti incaricate dell'applicazione e dell'esecuzione del presente capo conformemente all'articolo 37, paragrafo 1.
2.Le autorità competenti sono istituite in modo da garantire la loro indipendenza da qualsiasi fornitore di servizi di intermediazione dei dati riconosciuto o organizzazione per l'altruismo dei dati riconosciuta.
Articolo 32 quater
Requisiti generali per la registrazione dei fornitori di servizi di intermediazione dei dati riconosciuti
Per poter essere registrati nel registro pubblico dell'Unione di cui all'articolo 32 bis, paragrafo 1, lettera a), i fornitori di servizi di intermediazione dei dati soddisfano tutti i requisiti seguenti:
a)non utilizzano i dati per i quali forniscono servizi di intermediazione dei dati per scopi diversi dalla loro messa a disposizione agli utenti dei dati;
b)i dati da essi raccolti in relazione a qualsiasi attività di una persona fisica o giuridica ai fini della fornitura del servizio di intermediazione dei dati, compresi la data, l'ora e i dati di geolocalizzazione, la durata dell'attività e i collegamenti con altre persone fisiche o giuridiche stabiliti dalla persona che utilizza il servizio di intermediazione dei dati sono utilizzati solo per lo sviluppo di tale servizio di intermediazione dei dati;
c)qualora offrano strumenti e servizi aggiuntivi ai titolari dei dati o agli interessati allo scopo specifico di facilitare lo scambio di dati, come la conservazione temporanea, la cura, la conversione, la cifratura, l'anonimizzazione e la pseudonimizzazione, tali strumenti e servizi sono utilizzati solo su esplicita richiesta o approvazione del titolare dei dati o dell'interessato;
d)qualora i fornitori di servizi di intermediazione dei dati che non sono microimprese e piccole imprese offrano ai loro clienti servizi a valore aggiunto diversi dai servizi di cui alla lettera c), essi soddisfano le condizioni seguenti:
i)i servizi a valore aggiunto sono esplicitamente richiesti dall'utente;
ii)i dati non sono utilizzati per scopi diversi dalla prestazione del servizio a valore aggiunto;
iii)i servizi a valore aggiunto sono offerti attraverso un'entità funzionalmente separata;
iv)l'impresa che intende offrire i servizi a valore aggiunto non è designata come gatekeeper a norma dell'articolo 3 del regolamento (UE) 2022/1925;
v)le condizioni commerciali, compresa la fissazione del prezzo, per la fornitura di servizi di intermediazione dei dati a un titolare dei dati o a un utente dei dati non dipendono dal fatto che tale titolare dei dati o utente dei dati utilizzi servizi a valore aggiunto forniti dal fornitore di servizi di intermediazione dei dati o da un'entità collegata;
e)i fornitori di servizi di intermediazione dei dati che offrono servizi agli interessati agiscono nell'interesse superiore di questi ultimi nel facilitare l'esercizio dei loro diritti, in particolare informandoli e, se opportuno, fornendo loro consulenza in maniera concisa, trasparente, intelligibile e facilmente accessibile sugli utilizzi previsti dei dati da parte degli utenti dei dati e sui termini e le condizioni standard cui sono subordinati tali utilizzi, prima che gli interessati diano il loro consenso.
Articolo 32 quinquies
Requisiti generali per la registrazione delle organizzazioni per l'altruismo dei dati riconosciute
Per poter essere registrate nel registro pubblico dell'Unione di cui all'articolo 32 bis, paragrafo 1, lettera b), le organizzazioni per l'altruismo dei dati soddisfano tutti i requisiti seguenti:
a)svolgono attività di altruismo dei dati;
b)sono persone giuridiche costituite a norma del diritto nazionale per conseguire obiettivi di interesse generale, stabiliti nel diritto nazionale, ove applicabile;
c)operano senza scopo di lucro e sono giuridicamente indipendenti da qualsiasi entità che operi a scopo di lucro;
d)svolgono le attività di altruismo dei dati mediante una struttura funzionalmente separata dalle loro altre attività.
Articolo 32 sexies
Registrazione
1.Il fornitore di servizi di intermediazione dei dati che soddisfa i requisiti di cui all'articolo 32 quater può presentare una domanda di registrazione nel registro pubblico dell'Unione dei fornitori di servizi di intermediazione dei dati riconosciuti all'autorità competente di cui all'articolo 32 ter nello Stato membro in cui ha lo stabilimento principale.
L'organizzazione per l'altruismo dei dati che soddisfa i requisiti di cui all'articolo 32 quinquies può presentare una domanda di registrazione nel registro pubblico dell'Unione delle organizzazioni per l'altruismo dei dati riconosciute all'autorità competente di cui all'articolo 32 ter nello Stato membro in cui ha lo stabilimento principale.
2.I fornitori di servizi di intermediazione dei dati e le organizzazioni per l'altruismo dei dati che non hanno uno stabilimento principale nell'Unione designano un rappresentante legale in uno degli Stati membri. Il rappresentante legale riceve il mandato di essere interpellato oltre al fornitore di servizi di intermediazione dei dati o all'organizzazione per l'altruismo dei dati oppure al suo posto dalle autorità competenti o dagli interessati e dai titolari dei dati. Il rappresentante legale collabora con l'autorità competente e, su richiesta, dimostra alla stessa in modo esauriente le misure adottate e le disposizioni messe in atto dal fornitore di servizi di intermediazione dei dati o dall'organizzazione per l'altruismo dei dati per garantire la conformità al presente regolamento.
Il fornitore di servizi di intermediazione dei dati o l'organizzazione per l'altruismo dei dati sono considerati soggetti alla giurisdizione dello Stato membro in cui è situato il loro rappresentante legale. La designazione di un rappresentante legale non pregiudica eventuali azioni legali che potrebbero essere avviate nei confronti del fornitore di servizi di intermediazione dei dati o dell'organizzazione per l'altruismo dei dati.
3.Le autorità competenti predispongono i necessari moduli di domanda.
4.Qualora il fornitore di servizi di intermediazione dei dati abbia presentato tutte le informazioni necessarie a norma del paragrafo 3 del presente articolo e soddisfi i requisiti di cui all'articolo 32 quater, l'autorità competente, entro 12 settimane dal ricevimento della domanda di registrazione, adotta una decisione in merito al rispetto, da parte del fornitore, dei criteri di cui all'articolo 32 quater. Se il fornitore soddisfa tali criteri, l'autorità competente trasmette le informazioni pertinenti alla Commissione, che registra il fornitore nel registro pubblico dell'Unione come fornitore di servizi di intermediazione dei dati riconosciuto.
Il primo comma si applica anche qualora un'organizzazione per l'altruismo dei dati abbia presentato tutte le informazioni necessarie a norma del paragrafo 2 e rispetti i requisiti di registrazione di cui all'articolo 32 quinquies.
La registrazione nel registro pubblico dell'Unione è valida in tutti gli Stati membri.
5.L'autorità competente può imporre tariffe per la registrazione conformemente al diritto nazionale. Tali tariffe sono proporzionate e oggettive e si basano sui costi amministrativi connessi al monitoraggio della conformità. Nel caso delle piccole imprese a media capitalizzazione, delle piccole e medie imprese e delle start-up, l'autorità competente può applicare una tariffa scontata o consentire la registrazione a titolo gratuito.
6.Le entità registrate notificano all'autorità competente qualsiasi modifica apportata successivamente alle informazioni fornite durante la procedura di domanda o qualora cessino le loro attività di intermediazione dei dati o di altruismo dei dati nell'Unione.
7.L'autorità competente notifica senza ritardo e per via elettronica alla Commissione qualsiasi notifica a norma del paragrafo 6. La Commissione aggiorna senza indebito ritardo il registro pubblico dell'Unione.
Articolo 32 septies
Doveri delle organizzazioni per l'altruismo dei dati riconosciute
1.Le organizzazioni per l'altruismo dei dati riconosciute informano in maniera chiara e facilmente comprensibile gli interessati o i titolari dei dati, prima di qualsiasi trattamento dei loro dati, in merito:
a) agli obiettivi di interesse generale e, se opportuno, alla finalità determinata, esplicita e legittima per cui i dati personali devono essere trattati e per i quali acconsentono al trattamento dei loro dati da parte di un utente dei dati;
b) all'ubicazione del trattamento e agli obiettivi di interesse generale per cui acconsentono a eventuali trattamenti effettuati in un paese terzo, nel caso in cui il trattamento sia effettuato dall'organizzazione per l'altruismo dei dati riconosciuta.
2.Le organizzazioni per l'altruismo dei dati riconosciute non utilizzano i dati per altri obiettivi diversi da quelli di interesse generale per i quali gli interessati o i titolari dei dati acconsentono al trattamento. L'organizzazione per l'altruismo dei dati riconosciuta non ricorre a pratiche commerciali ingannevoli per sollecitare la fornitura di dati.
3.Le organizzazioni per l'altruismo dei dati riconosciute forniscono mezzi elettronici per ottenere il consenso degli interessati o le autorizzazioni al trattamento dei dati messi a disposizione dai titolari dei dati, nonché per la revoca di tale consenso e di tali autorizzazioni.
4.Le organizzazioni per l'altruismo dei dati riconosciute informano senza ritardo i titolari dei dati in caso di trasferimento, accesso o utilizzo non autorizzati dei dati non personali che hanno condiviso.
5.Qualora agevolino il trattamento dei dati da parte di terzi, anche fornendo strumenti per ottenere il consenso degli interessati o le autorizzazioni al trattamento dei dati messi a disposizione dai titolari dei dati, le organizzazioni per l'altruismo dei dati riconosciute specificano, se del caso, il paese terzo in cui i dati sono destinati a essere utilizzati.
Articolo 32 octies
Monitoraggio della conformità
1.Le autorità competenti di cui all'articolo 32 ter monitorano e controllano, di propria iniziativa o su richiesta di una persona fisica o giuridica, se i fornitori di servizi di intermediazione dei dati riconosciuti e le organizzazioni per l'altruismo dei dati riconosciute rispettano le prescrizioni di cui al presente capo, nonché se continuano a rispettare i requisiti per la registrazione ivi stabiliti.
2.Le autorità competenti hanno il potere di chiedere ai fornitori di servizi di intermediazione dei dati riconosciuti o alle organizzazioni per l'altruismo dei dati riconosciute, o al loro rappresentante legale, tutte le informazioni necessarie per verificare il rispetto delle prescrizioni di cui al presente capo. Le richieste di informazioni sono motivate e proporzionate rispetto all'assolvimento del compito.
3.L'autorità competente che accerti l'inosservanza, da parte di un fornitore di servizi di intermediazione dei dati riconosciuto o di un'organizzazione per l'altruismo dei dati riconosciuta, di una o più prescrizioni di cui al presente capo, notifica all'entità, o al suo rappresentante legale, quanto accertato e le offre l'opportunità di esprimere osservazioni entro 30 giorni dal ricevimento della notifica.
4.L'autorità competente ha il potere di imporre la cessazione dell'inosservanza di cui al paragrafo 3 immediatamente oppure entro un termine ragionevole e adotta misure adeguate e proporzionate con l'intento di assicurare l'osservanza delle norme.
5.Se un fornitore di servizi di intermediazione dei dati riconosciuto o un'organizzazione per l'altruismo dei dati riconosciuta non rispetta uno o più prescrizioni di cui al presente capo, anche dopo aver ricevuto la notifica a norma del paragrafo 3, tale entità:
a) perde il diritto di utilizzare il titolo di cui all'articolo 32 bis nelle comunicazioni scritte e orali;
b) è rimossa dal registro pubblico dell'Unione di cui all'articolo 32 bis.
L'autorità competente pubblica ogni decisione di revoca del diritto di utilizzare il titolo di cui al primo comma, lettera a).
CAPO VII ter
Libera circolazione dei dati non personali nell'Unione
Articolo 32 nonies
Divieto di imporre obblighi di localizzazione dei dati non personali all'interno dell'Unione
1.L'imposizione di obblighi di localizzazione dei dati non personali è vietata, a meno che non sia giustificata da motivi di sicurezza pubblica nel rispetto del principio di proporzionalità o stabilita sulla base del diritto dell'Unione.
2.Gli Stati membri comunicano immediatamente alla Commissione qualsiasi progetto di atto che introduca un nuovo obbligo di localizzazione dei dati o apporti modifiche a un obbligo di localizzazione dei dati vigente, secondo le procedure di cui agli articoli 5, 6 e 7 della direttiva (UE) 2015/1535 del Parlamento europeo e del Consiglio.
CAPO VII quater
Riutilizzo di dati e documenti detenuti da enti pubblici
Sezione 1
Disposizioni generali
Articolo 32 decies
Oggetto e ambito di applicazione
1.Il presente capo stabilisce una serie di norme che disciplinano il riutilizzo e le modalità pratiche per facilitare il riutilizzo di:
a)dati e documenti esistenti detenuti dagli enti pubblici degli Stati membri, comprese determinate categorie di dati protetti;
b)dati e documenti esistenti detenuti da imprese pubbliche:
i)attive nei settori menzionati al capo II della direttiva 2014/25/UE del Parlamento europeo e del Consiglio;
ii)che agiscono in qualità di operatori di servizio pubblico a norma dell'articolo 2 del regolamento (CE) n. 1370/2007 del Parlamento europeo e del Consiglio;
iii)che agiscono in qualità di vettori aerei che assolvono oneri di servizio pubblico a norma dell'articolo 16 del regolamento (CE) n. 1008/2008 del Parlamento europeo e del Consiglio; oppure
iv)che agiscono in qualità di armatori comunitari che assolvono obblighi di servizio pubblico a norma dell'articolo 4 del regolamento (CEE) n. 3577/92 del Consiglio;
c)
dati della ricerca, conformemente alle condizioni di cui all'articolo 32 unvicies.
2. Il presente capo non si applica:
a)ai dati e ai documenti la cui fornitura è un'attività che esula dall'ambito dei compiti di servizio pubblico degli enti pubblici in questione, quali definiti dalla legge o da altre norme vincolanti nello Stato membro o, in mancanza di tali norme, quali definiti in conformità delle comuni prassi amministrative dello Stato membro in questione, a condizione che la portata di detti compiti sia trasparente e soggetta a revisione;
b)ai dati e ai documenti detenuti dalle imprese pubbliche e:
i)prodotti al di fuori dell'ambito della prestazione di servizi di interesse generale quali definiti dalla legge o da altre norme vincolanti nello Stato membro;
ii)connessi ad attività direttamente esposte alla concorrenza e, di conseguenza, a norma dell'articolo 34 della direttiva 2014/25/UE, non soggetti alle norme in materia di appalti;
c)ai dati e ai documenti, come i dati sensibili, esclusi dall'accesso in virtù dei regimi di accesso vigenti nello Stato membro per motivi di tutela della sicurezza nazionale (ossia della sicurezza dello Stato), di difesa o di sicurezza pubblica;
d)ai dati e ai documenti detenuti dalle emittenti di servizio pubblico e dalle società da esse controllate e da altri organismi o relative società controllate per l'adempimento di un compito di radiodiffusione di servizio pubblico.
3.La sezione 2 del presente capo non si applica:
a)ai dati o ai documenti, come i dati o i documenti sensibili, esclusi dall'accesso in virtù dei regimi di accesso nello Stato membro, anche per motivi di:
i)riservatezza statistica;
ii)riservatezza commerciale (compresi i segreti commerciali, professionali o d'impresa);
b)ai dati o ai documenti il cui accesso è limitato in virtù dei regimi di accesso vigenti negli Stati membri:
i)compresi i casi in cui i cittadini o le persone giuridiche devono dimostrare un interesse particolare nell'ottenimento dell'accesso ai documenti;
ii)per motivi di protezione dei dati personali e di parti di dati o documenti accessibili in virtù di tali regimi che contengono dati personali il cui riutilizzo è stato definito per legge incompatibile con la normativa in materia di tutela delle persone fisiche con riguardo al trattamento dei dati personali o pregiudizievole per la tutela della vita privata e dell'integrità degli individui, segnatamente quale prevista dal diritto nazionale o dell'Unione in materia di tutela dei dati personali; a logotipi, stemmi e distintivi;
c)ai dati o ai documenti su cui terzi detengono diritti di proprietà intellettuale;
d)ai dati o ai documenti detenuti da enti culturali diversi dalle biblioteche, comprese le biblioteche universitarie, dai musei e dagli archivi;
e)ai dati o ai documenti detenuti da istituti di istruzione secondaria e inferiore e, nel caso di tutti gli altri istituti di istruzione, ai dati diversi da quelli di cui al paragrafo 1, lettera c);
f)ai dati o ai documenti diversi da quelli di cui al paragrafo 1, lettera c), detenuti da organizzazioni che svolgono attività di ricerca e da organizzazioni che finanziano la ricerca, comprese le organizzazioni preposte al trasferimento dei risultati della ricerca;
g)ai dati o ai documenti il cui accesso è escluso o limitato per motivi di protezione delle informazioni relative a soggetti critici o a infrastrutture critiche quali definiti all'articolo 2, punti 1) e 4), della direttiva (UE) 2022/2557.
4.La sezione 3 del presente capo non si applica:
a)ai dati e ai documenti che non rientrano in determinate categorie di dati protetti;
b)ai dati o ai documenti detenuti da imprese pubbliche;
c)ai dati o ai documenti detenuti da enti culturali e di istruzione;
d)ai dati e ai documenti di cui alla sezione 2 del presente capo.
5.Il presente capo si basa, senza pregiudicarli, sui regimi di accesso dell'Unione e nazionali, in particolare per quanto riguarda la concessione dell'accesso a documenti ufficiali e la loro divulgazione.
6.Gli obblighi imposti conformemente al presente capo si applicano soltanto nella misura in cui siano compatibili con le disposizioni degli accordi internazionali sulla protezione dei diritti di proprietà intellettuale, in particolare la convenzione di Berna per la protezione delle opere letterarie e artistiche ("convenzione di Berna"), l'accordo sugli aspetti dei diritti di proprietà intellettuale attinenti al commercio ("accordo TRIPS") e il trattato dell'Organizzazione mondiale per la proprietà intellettuale sul diritto d'autore (WIPO Copyright Treaty - WCT).
7.Il diritto del costitutore di una banca di dati di cui all'articolo 7, paragrafo 1, della direttiva 96/9/CE non è esercitato dagli enti pubblici al fine di impedire il riutilizzo di dati e documenti o di limitarne il riutilizzo oltre i limiti stabiliti dal presente capo.
8.Il presente capo disciplina il riutilizzo dei dati e dei documenti esistenti detenuti dagli enti pubblici e dalle imprese pubbliche degli Stati membri, compresi i dati e i documenti cui si applica la direttiva 2007/2/CE del Parlamento europeo e del Consiglio.
9.Il presente capo lascia impregiudicati il diritto dell'Unione e nazionale e gli accordi internazionali di cui l'Unione o gli Stati membri sono parti in relazione alla protezione delle categorie di dati o documenti di cui all'articolo 2, punto 54).
Articolo 32 undecies
Non discriminazione
1.Le condizioni applicabili per il riutilizzo dei dati o dei documenti sono non discriminatorie, trasparenti, proporzionate e oggettivamente giustificate in relazione alle categorie di dati o documenti, alle finalità del riutilizzo e alla natura dei dati o dei documenti per i quali è consentito il riutilizzo. Tali condizioni non sono utilizzate per limitare la concorrenza. Questo principio si applica anche a categorie analoghe di riutilizzo, compreso il riutilizzo transfrontaliero.
2.Se un ente pubblico riutilizza dati o documenti per attività commerciali che esulano dall'ambito dei suoi compiti di servizio pubblico, la messa a disposizione dei dati o dei documenti in questione per tali attività è soggetta alle stesse tariffe e condizioni applicate agli altri riutilizzatori.
Articolo 32 duodecies
Accordi di esclusiva
1.I dati o i documenti possono essere riutilizzati da tutti gli operatori potenziali sul mercato, anche qualora uno o più operatori stiano già procedendo allo sfruttamento di prodotti a valore aggiunto basati su tali dati o documenti. Sono vietati gli accordi o altre intese o pratiche riguardanti il riutilizzo di dati o documenti che hanno per oggetto o per effetto la concessione di diritti esclusivi o la limitazione della disponibilità di dati o documenti per il riutilizzo da parte di entità diverse dalle parti di tali accordi, intese o pratiche.
2.In deroga al paragrafo 1, qualora sia necessario concedere un diritto esclusivo per la prestazione di un servizio di interesse generale, tale diritto può essere concesso nella misura necessaria alla prestazione del servizio o alla fornitura del prodotto alle seguenti condizioni:
a)il diritto esclusivo è concesso mediante un atto amministrativo o un accordo contrattuale conformemente al diritto dell'Unione e nazionale applicabile e nel rispetto dei principi di trasparenza, parità di trattamento e non discriminazione;
b)gli accordi che concedono il diritto esclusivo, compresi i motivi per cui è necessario concedere tale diritto, sono trasparenti e messi a disposizione del pubblico online, in una forma conforme al pertinente diritto dell'Unione in materia di appalti pubblici e al diritto nazionale;
c)fatta eccezione per i diritti esclusivi relativi alla digitalizzazione delle risorse culturali, la fondatezza del motivo alla base della concessione di diritti esclusivi relativi ai dati e ai documenti che rientrano nell'ambito di applicazione della sezione 2 è soggetta a riesame periodico e, in ogni caso, è riesaminata ogni tre anni;
d)gli accordi di esclusiva conclusi il 16 luglio 2019 o successivamente a tale data sono messi a disposizione del pubblico online almeno due mesi prima che entrino in vigore. I termini definitivi di tali accordi sono trasparenti e sono messi a disposizione del pubblico online.
(3)In deroga al paragrafo 1, se il diritto esclusivo riguarda la digitalizzazione di risorse culturali, il periodo di esclusiva non eccede di norma i dieci anni. Nel caso in cui tale periodo ecceda i dieci anni, in conformità del diritto dell'Unione e nazionale applicabile la sua durata è soggetta a riesame nel corso dell'undicesimo anno e, se del caso, successivamente ogni sette anni.
4.Nel caso di un diritto esclusivo di cui al paragrafo 3, all'ente pubblico interessato è fornita a titolo gratuito una copia delle risorse culturali digitalizzate come parte di tale accordo. Tale copia è resa disponibile per il riutilizzo al termine del periodo di esclusiva.
5.Per determinate categorie di dati protetti, la durata del diritto esclusivo di riutilizzo dei dati non supera i 12 mesi. Ove si concluda un contratto, la durata del contratto è la stessa della durata del diritto esclusivo.
6.Gli accordi o altre intese o pratiche che, pur non concedendo espressamente un diritto esclusivo, mirano a limitare, o possono fare ragionevolmente prevedere che avranno l'esito di limitare, la disponibilità di riutilizzo di dati e documenti che rientrano nell'ambito di applicazione della sezione 2 da parte di soggetti diversi dalle parti di tali accordi, sono messi a disposizione del pubblico online almeno due mesi prima di entrare in vigore. L'effetto di tali disposizioni giuridiche o pratiche sulla disponibilità dei dati ai fini di riutilizzo è soggetto a riesame periodico ed è comunque rivisto con scadenza triennale. I termini definitivi di tali accordi sono trasparenti e sono messi a disposizione del pubblico online.
7.Per gli accordi di esclusiva esistenti si applicano le seguenti disposizioni:
a)agli accordi di esclusiva relativi ai dati e ai documenti che rientrano nell'ambito di applicazione della sezione 2 esistenti al 17 luglio 2013 che non soddisfano le condizioni previste per beneficiare delle deroghe di cui ai paragrafi 2 e 3 e che sono stati conclusi da enti pubblici è posto termine alla scadenza del contratto e in ogni caso entro il 18 luglio 2043;
b)agli accordi di esclusiva relativi ai dati e ai documenti che rientrano nell'ambito di applicazione della sezione 2 esistenti al 16 luglio 2019 che non soddisfano le condizioni previste per beneficiare delle deroghe di cui ai paragrafi 2 e 3 e che sono stati conclusi da imprese pubbliche è posto termine alla scadenza del contratto e in ogni caso entro il 17 luglio 2049.
Articolo 32 terdecies
Principi generali in materia di tariffazione
1.Le tariffe di cui alla sezione 2 o alla sezione 3 sono trasparenti, non discriminatorie, proporzionate e oggettivamente giustificate e non limitano la concorrenza.
2.Qualora siano applicate tariffe standard per il riutilizzo di dati o documenti, le condizioni applicabili e l'effettivo ammontare delle tariffe, compresa la base di calcolo utilizzata per tali tariffe, sono fissati in anticipo e pubblicati, ove possibile e opportuno, per via elettronica.
3.Qualora siano applicate tariffe per il riutilizzo diverse da quelle di cui al paragrafo 1, sono indicati innanzitutto gli elementi presi in considerazione nel calcolo di tali tariffe. Su richiesta, il titolare dei dati o dei documenti in questione indica inoltre la modalità con cui tali tariffe sono state calcolate in relazione a una specifica richiesta di riutilizzo.
4.Gli enti pubblici provvedono affinché le tariffe possano anche essere pagate online mediante servizi di pagamento transfrontalieri ampiamente diffusi, senza discriminazioni basate sul luogo di stabilimento del fornitore del servizio di pagamento, sul luogo di emissione dello strumento di pagamento o sull'ubicazione del conto di pagamento all'interno dell'Unione.
Articolo 32 quaterdecies
Informazioni sui mezzi di ricorso
Gli enti pubblici garantiscono che coloro che richiedono il riutilizzo di dati o documenti siano informati dei mezzi di ricorso di cui dispongono per quanto riguarda le decisioni o le pratiche che li interessano.
Sezione 2
Riutilizzo dei dati aperti della pubblica amministrazione
Sottosezione 1 - Ambito di applicazione e principi generali
Articolo 32 quindecies
Principio generale per il riutilizzo dei dati aperti della pubblica amministrazione
1.I dati o i documenti che rientrano nell'ambito di applicazione della presente sezione sono riutilizzabili a fini commerciali o non commerciali conformemente alla sezione 1 e alla sezione 2, sottosezione 3.
2.I dati o i documenti i cui diritti di proprietà intellettuale sono detenuti da biblioteche, comprese le biblioteche universitarie, da musei e archivi, e i dati o i documenti detenuti dalle imprese pubbliche sono riutilizzabili a fini commerciali o non commerciali, qualora il loro riutilizzo sia autorizzato, conformemente alla sezione 1 e alla sezione 2, sottosezione 3.
Sottosezione 2
Richieste di riutilizzo
Articolo 32 sexdecies
Trattamento delle richieste di riutilizzo
1.Gli enti pubblici trattano le richieste di riutilizzo e mettono i documenti a disposizione del richiedente ai fini del riutilizzo, ove possibile e opportuno per via elettronica o, se è necessaria una licenza, mettono a punto l'offerta di licenza per il richiedente entro un lasso di tempo ragionevole e coerente con quello previsto per il trattamento delle richieste di accesso ai dati o ai documenti.
2.Laddove non siano stati fissati limiti di tempo o altre disposizioni in merito alla fornitura tempestiva di dati o documenti, gli enti pubblici trattano la richiesta di riutilizzo e forniscono i dati o i documenti al richiedente ai fini del riutilizzo o, se è necessaria una licenza, mettono a punto l'offerta di licenza per il richiedente il prima possibile e comunque entro 20 giorni lavorativi dalla ricezione della richiesta. Tale lasso di tempo può essere prorogato di ulteriori 20 giorni lavorativi ove le richieste siano cospicue o complesse. In tali casi, il prima possibile e comunque entro tre settimane dalla richiesta iniziale, sarà notificato al richiedente che occorre più tempo per evadere la richiesta e la relativa motivazione.
3.In caso di decisione negativa, gli enti pubblici comunicano al richiedente i motivi del rifiuto sulla base delle pertinenti disposizioni del regime di accesso in tale Stato membro o delle disposizioni del presente regolamento, in particolare l'articolo 32 decies, paragrafo 2, lettere da a) a c) e paragrafo 3, lettere da a) a d), o l'articolo 32 quindecies (sezione riguardante il principio generale dell'"apertura fin dalla progettazione e per impostazione predefinita"). Quando è adottata una decisione negativa a norma dell'articolo 32 decies, paragrafo 3, lettera d), l'ente pubblico indica inoltre la persona fisica o giuridica titolare del diritto, se è nota, oppure il licenziante dal quale l'ente pubblico ha ottenuto il materiale in questione. Le biblioteche, comprese le biblioteche universitarie, i musei e gli archivi non sono tenuti a includere tale indicazione.
4.I mezzi di ricorso comprendono la possibilità di revisione da parte di un organo imparziale di revisione dotato delle opportune competenze, come per esempio l'autorità nazionale garante della concorrenza, l'autorità competente per l'accesso ai dati o ai documenti, l'autorità di controllo istituita a norma del regolamento (UE) 2016/679 o un'autorità giudiziaria nazionale, le cui decisioni sono vincolanti per l'ente pubblico interessato.
5.Ai fini del presente articolo, gli Stati membri definiscono disposizioni pratiche per facilitare l'effettivo riutilizzo dei dati o dei documenti. In particolare, tali disposizioni possono includere i mezzi per fornire informazioni pertinenti sui diritti di cui al presente regolamento e per offrire assistenza e orientamenti adeguati.
6.Il presente articolo non si applica ai seguenti soggetti:
a)le imprese pubbliche;
b)gli istituti di istruzione, le organizzazioni che svolgono attività di ricerca e le organizzazioni che finanziano la ricerca.
Sottosezione 3
Condizioni per il riutilizzo
Articolo 32 septdecies
Formati disponibili
1.Fatta salva la sottosezione 5, gli enti pubblici e le imprese pubbliche mettono a disposizione i propri dati o documenti in qualsiasi formato o lingua preesistente e, ove possibile e opportuno, per via elettronica, in formati aperti, leggibili da dispositivo automatico, accessibili, reperibili e riutilizzabili, insieme ai rispettivi metadati. Sia il formato che i metadati sono, ove possibile, conformi a standard formali aperti.
2.Gli Stati membri incoraggiano gli enti pubblici e le imprese pubbliche a produrre e mettere a disposizione i dati o i documenti che rientrano nell'ambito di applicazione della presente sezione secondo il principio dell'"apertura fin dalla progettazione e per impostazione predefinita".
3.Il paragrafo 1 non comporta, per gli enti pubblici, l'obbligo di creare dati o documenti, di adattarlio di fornirne estratti per conformarsi a tale paragrafo se ciò comporta difficoltà sproporzionate, che vanno al di là di una semplice operazione.
4.Non può essere fatto obbligo agli enti pubblici di continuare a produrre e a conservare un certo tipo di dati o documenti per permetterne il riutilizzo da parte di un'organizzazione del settore privato o pubblico.
5.Gli enti pubblici rendono disponibili i dati dinamici per il riutilizzo immediatamente dopo la raccolta tramite API adeguate e, se del caso, come download in blocco.
6.Se rendere disponibili i dati dinamici per il riutilizzo immediatamente dopo la raccolta come indicato al paragrafo 5 eccede le capacità finanziarie e tecniche dell'ente pubblico, imponendo in tal modo uno sforzo sproporzionato, tali dati dinamici sono resi disponibili per il riutilizzo entro un termine o con temporanee restrizioni tecniche che non pregiudichino indebitamente lo sfruttamento del loro potenziale economico e sociale.
7.I paragrafi da 1 a 6 si applicano ai dati o ai documenti esistenti detenuti dalle imprese pubbliche che sono disponibili per il riutilizzo.
8.Le serie di dati di elevato valore, come elencate a norma dell'articolo 32 tervicies, paragrafo 1, sono messe a disposizione per il riutilizzo in formato leggibile da dispositivo automatico, tramite opportune API e, se del caso, come download in blocco.
Articolo 32 octodecies
Principi che disciplinano la tariffazione dei dati aperti della pubblica amministrazione
1.Il riutilizzo di dati o documenti che rientrano nell'ambito di applicazione della presente sezione è a titolo gratuito. Tuttavia può essere consentito il recupero, da parte dell'ente pubblico che detiene i dati, dei costi marginali sostenuti per la riproduzione, la fornitura e la diffusione di tali dati o documenti, nonché per l'anonimizzazione dei dati personali e le misure adottate per proteggere le informazioni commerciali a carattere riservato.
2.Il paragrafo 1 non si applica ai seguenti soggetti:
a)enti pubblici che devono generare utili per coprire una parte sostanziale dei costi inerenti allo svolgimento dei propri compiti di servizio pubblico;
b)biblioteche, comprese le biblioteche universitarie, musei e archivi;
c)imprese pubbliche.
3.Gli Stati membri pubblicano online un elenco degli enti pubblici di cui al paragrafo 2, lettera a).
4.Nei casi di cui al paragrafo 2, lettere a) e c), l'importo totale delle tariffe è calcolato in base a criteri oggettivi, trasparenti e verificabili. Tali criteri sono stabiliti dagli Stati membri. Il totale delle entrate provenienti dalla fornitura e dall'autorizzazione al riutilizzo di dati o documenti in un periodo contabile adeguato non supera i costi della loro raccolta, produzione, riproduzione, diffusione e conservazione, maggiorati di un utile ragionevole sugli investimenti e, ove applicabile, i costi per l'anonimizzazione di dati personali e le misure adottate per proteggere le informazioni commerciali a carattere riservato. Le tariffe sono calcolate conformemente ai principi contabili applicabili.
5.Quando viene chiesto il pagamento di un corrispettivo in denaro dagli enti pubblici di cui al paragrafo 2, lettera b), il totale delle entrate provenienti dalla fornitura e dall'autorizzazione al riutilizzo di dati o documenti in un periodo contabile adeguato non supera i costi di raccolta, produzione, riproduzione, diffusione, archiviazione, conservazione e gestione dei diritti e, ove applicabile, di anonimizzazione di dati personali e per l'adozione di misure volte a proteggere le informazioni commerciali a carattere riservato, maggiorati di un utile ragionevole sugli investimenti. Le tariffe sono calcolate conformemente ai principi contabili applicabili agli enti pubblici interessati.
6.Gli enti pubblici possono fissare, per il riutilizzo di dati e documenti da parte di imprese molto grandi, tariffe che sono più elevate rispetto a quelle di cui ai paragrafi 1, 4 e 5. Tali tariffe sono proporzionate, si basano su criteri oggettivi e tengono conto del potere economico o della capacità dell'entità di acquisire dati, nonché in particolare della sua designazione come gatekeeper a norma del regolamento (UE) 2022/1925. Oltre agli elementi elencati al paragrafo 1 del presente articolo, tali tariffe possono coprire i costi di raccolta, produzione, riproduzione, diffusione e archiviazione dei dati e, se del caso, i costi di anonimizzazione o per l'adozione di misure volte a tutelare la riservatezza dei dati o dei documenti, maggiorati di un utile ragionevole sugli investimenti.
7.Il riutilizzo di quanto segue è gratuito per l'utilizzatore:
a)fatto salvo l'articolo 32 tervicies, paragrafi 3, 4 e 5, le serie di dati di elevato valore, come elencate a norma del paragrafo 1 di detto articolo;
b)i dati della ricerca di cui all'articolo 32 decies, paragrafo 1, lettera c).
Articolo 32 novodecies
Licenze standard
1.Il riutilizzo di dati o documenti non è soggetto a condizioni, a meno che tali condizioni non siano obiettive, proporzionate, non discriminatorie e giustificate sulla base di un obiettivo di interesse pubblico.
2.Quando il riutilizzo è subordinato a condizioni, tali condizioni non riducono indebitamente le possibilità di riutilizzo e non sono utilizzate per limitare la concorrenza.
3.Negli Stati membri in cui si fa uso della licenza, gli enti pubblici provvedono affinché le licenze standard per il riutilizzo di dati o documenti del settore pubblico, che possono essere adattate per soddisfare particolari richieste di licenza, siano disponibili in formato digitale e possano essere elaborate elettronicamente.
4.Gli enti pubblici possono stabilire condizioni particolari per il riutilizzo di dati e documenti da parte di imprese molto grandi. Tali condizioni sono proporzionate e si basano su criteri oggettivi. Esse sono stabilite tenendo conto del potere economico o della capacità dell'entità di acquisire dati, nonché in particolare della sua designazione come gatekeeper a norma del regolamento (UE) 2022/1925.
Articolo 32 vicies
Modalità pratiche
1.Gli Stati membri adottano modalità pratiche per facilitare la ricerca dei dati o dei documenti disponibili per il riutilizzo, come elenchi dei dati o dei documenti più importanti, insieme ai rispettivi metadati, ove possibile e opportuno accessibili online e in formati leggibili da dispositivo automatico, e portali collegati agli elenchi di risorse. Ove possibile, gli Stati membri facilitano la ricerca interlinguistica dei dati o dei documenti, in particolare consentendo l'aggregazione dei metadati a livello dell'Unione.
Gli Stati membri incoraggiano inoltre gli enti pubblici ad adottare modalità pratiche per facilitare l'archiviazione dei dati o dei documenti disponibili per il riutilizzo.
2.Gli Stati membri, in cooperazione con la Commissione, proseguono gli sforzi per semplificare l'accesso alle serie di dati, in particolare fornendo un punto di accesso unico e mettendo progressivamente a disposizione serie di dati idonee detenute dagli enti pubblici per i dati o i documenti cui si applica la presente sezione, nonché ai dati detenuti dalle istituzioni dell'Unione, in formati accessibili, facilmente reperibili e riutilizzabili per via elettronica.
Sottosezione 4
Dati della ricerca
Articolo 32 unvicies
Dati della ricerca
1.Gli Stati membri promuovono la disponibilità dei dati della ricerca adottando politiche nazionali e azioni pertinenti per rendere i dati della ricerca finanziata con fondi pubblici apertamente disponibili ("politiche di accesso aperto") secondo il principio dell'"apertura per impostazione predefinita" e compatibili con i principi FAIR. In tale contesto, occorre prendere in considerazione le preoccupazioni in materia di diritti di proprietà intellettuale, protezione dei dati personali e riservatezza, sicurezza e legittimi interessi commerciali, in conformità del principio "il più aperto possibile, chiuso il tanto necessario". Tali politiche di accesso aperto sono indirizzate alle organizzazioni che svolgono attività di ricerca e alle organizzazioni che finanziano la ricerca.
2.Fatto salvo l'articolo 32 quindecies, paragrafo 3, lettera d), i dati della ricerca sono riutilizzabili a fini commerciali o non commerciali conformemente alla sezione 1 e alla sezione 2, sottosezione 3, nella misura in cui tali ricerche sono finanziate con fondi pubblici e ricercatori, organizzazioni che svolgono attività di ricerca e organizzazioni che finanziano la ricerca li hanno già resi pubblici attraverso una banca dati gestita a livello istituzionale o su base tematica. In tale contesto viene tenuto conto dei legittimi interessi commerciali, delle attività di trasferimento di conoscenze e dei diritti di proprietà intellettuale preesistenti.
Sottosezione 5
Serie di dati di elevato valore
Articolo 32 duovicies
Categorie tematiche di serie di dati di elevato valore
1.Le categorie tematiche delle serie di dati di elevato valore figurano nell'allegato I.
2.Alla Commissione è conferito il potere di adottare atti delegati conformemente all'articolo 45, paragrafo 2 bis, al fine di modificare l'allegato I aggiungendovi nuove categorie tematiche di serie di dati di elevato valore per tener conto degli sviluppi tecnologici e di mercato.
Articolo 32 tervicies
Specifiche serie di dati di elevato valore e modalità di pubblicazione e riutilizzo
1.La Commissione adotta atti di esecuzione che stabiliscono un elenco di specifiche serie di dati di elevato valore appartenenti alle categorie di cui all'allegato I e detenute da enti pubblici e imprese pubbliche tra i dati o i documenti cui si applica la presente sezione.
Tali specifiche serie di dati di elevato valore sono:
a)disponibili gratuitamente, fatti salvi i paragrafi 3, 4 e 5;
b)leggibili da dispositivo automatico;
c)fornite mediante API; e
d)fornite come download in blocco, se del caso.
Tali atti di esecuzione possono specificare le modalità di pubblicazione e riutilizzo delle serie di dati di elevato valore. Tali modalità sono compatibili con le licenze standard aperte.
Le modalità possono includere le condizioni applicabili al riutilizzo, i formati dei dati e dei metadati e le modalità tecniche di diffusione. Gli investimenti effettuati dagli Stati membri in materia di approcci per l'apertura dei dati, come gli investimenti nello sviluppo e nell'introduzione di determinati standard, sono presi in considerazione e ponderati rispetto ai potenziali benefici dell'inclusione nell'elenco.
Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 46, paragrafo 2.
2.L'individuazione delle specifiche serie di dati di elevato valore di cui al paragrafo 1 si basa sulla valutazione delle loro potenzialità:
a)nell'apportare importanti benefici socioeconomici o ambientali e servizi innovativi;
b)nel favorire un numero elevato di utilizzatori, in particolare le PMI e le piccole imprese a media capitalizzazione;
c)nel contribuire a generare proventi; e
d)nell'essere combinate con altre serie di dati.
A fine dell'individuazione delle specifiche serie di dati di elevato valore, la Commissione svolge adeguate consultazioni, anche a livello di esperti, effettua una valutazione d'impatto e garantisce la complementarietà con gli atti giuridici esistenti, come la direttiva 2010/40/UE del Parlamento europeo e del Consiglio, in relazione al riutilizzo di dati o documenti. Tale valutazione d'impatto include un'analisi costi/benefici e un'analisi finalizzata a stabilire se la fornitura a titolo gratuito delle serie di dati di elevato valore da parte degli enti pubblici che devono generare utili per coprire una parte sostanziale dei costi inerenti allo svolgimento dei propri compiti di servizio pubblico avrebbe un impatto sostanziale sul bilancio di tali enti. Con riguardo alle serie di dati di elevato valore detenute da imprese pubbliche, la valutazione d'impatto presta particolare attenzione al ruolo delle imprese pubbliche in un contesto economico competitivo.
3.In deroga al paragrafo 1, secondo comma, lettera a), gli atti di esecuzione menzionati in tale paragrafo prevedono che l'obbligo di messa a disposizione gratuita delle serie di dati di elevato valore non si applichi alle specifiche serie di dati di elevato valore detenute dalle imprese pubbliche qualora ciò determini una distorsione della concorrenza nei pertinenti mercati.
4.L'obbligo di rendere gratuitamente disponibili le serie di dati di elevato valore a norma del paragrafo 1, secondo comma, lettera a) non si applica alle biblioteche, comprese le biblioteche universitarie, ai musei e agli archivi.
5.Nel caso in cui la messa a disposizione gratuita delle serie di dati di elevato valore da parte di enti pubblici che devono generare utili per coprire una parte sostanziale dei costi inerenti allo svolgimento dei propri compiti di servizio pubblico avrebbe un impatto sostanziale sul bilancio di tali enti, gli Stati membri possono esentare gli enti in questione dall'obbligo di mettere a disposizione gratuitamente tali serie di dati di valore elevato per un periodo non superiore ai due anni dall'entrata in vigore del pertinente atto di esecuzione adottato conformemente al paragrafo 1.
Sezione 3
Riutilizzo di determinate categorie di dati protetti detenuti da enti pubblici
Articolo 32 quatervicies
Condizioni per il riutilizzo
1.Gli enti pubblici che, a norma del diritto nazionale, hanno facoltà di concedere o negare l'accesso per il riutilizzo di dati o documenti appartenenti a determinate categorie di dati protetti rendono pubbliche le condizioni per consentire tale riutilizzo nonché la procedura di richiesta del riutilizzo attraverso lo sportello unico di cui all'articolo 32 octovicies. Nel concedere o negare l'accesso per il riutilizzo, tali enti possono essere assistiti dagli organismi competenti di cui all'articolo 32 septvicies, paragrafo 1.
Gli Stati membri garantiscono che gli enti pubblici siano dotati delle necessarie risorse per conformarsi al presente articolo e all'articolo 32 quinvicies.
2.Il riutilizzo di dati o documenti non pregiudica il carattere protetto di tali dati o documenti ed è consentito solo:
a)nel rispetto dei diritti di proprietà intellettuale;
b)se i dati considerati riservati conformemente al diritto dell'Unione o nazionale in materia di riservatezza commerciale o statistica non sono divulgati per effetto dell'autorizzazione al riutilizzo, a meno che tale riutilizzo non sia autorizzato sulla base del consenso dell'interessato o dell'autorizzazione del titolare dei dati conformemente al paragrafo 5;
c) nel rispetto del regolamento (UE) 2016/679.
3.Per garantire che sia preservato il carattere protetto di dati o documenti, come menzionato al paragrafo 2, gli enti pubblici possono stabilire le prescrizioni seguenti:
a)concedere l'accesso per il riutilizzo di dati o documenti solo se l'ente pubblico o l'organismo competente ha garantito, in seguito alla richiesta di riutilizzo, che tali dati o documenti sono stati:
i)anonimizzati, nel caso di dati personali;
ii)soggetti ad altre forme di preparazione dei dati personali;
iii)modificati, aggregati o trattati mediante qualsiasi altro metodo di controllo della divulgazione, nel caso di informazioni commerciali riservate, compresi i segreti commerciali o i contenuti protetti da diritti di proprietà intellettuale;
b)accedere ai dati o ai documenti e riutilizzarli da remoto all'interno di un ambiente di trattamento sicuro fornito o controllato dall'ente pubblico;
c)accedere ai dati o ai documenti e riutilizzarli all'interno dei locali fisici in cui si trova l'ambiente di trattamento sicuro, rispettando rigorose norme di sicurezza, a condizione che l'accesso remoto non possa essere consentito senza compromettere i diritti e gli interessi di terzi.
Nel caso in cui sia consentito a norma del primo comma, lettera a), punto i), il riutilizzo di dati o documenti è soggetto alle norme riguardanti i dati aperti della pubblica amministrazione di cui alla sezione 2. Ciò lascia impregiudicato l'articolo 32 sexvicies, che prevale in caso di conflitto.
In caso di riutilizzo consentito conformemente al primo comma, lettere b) e c), gli enti pubblici impongono condizioni che preservano l'integrità del funzionamento dei sistemi tecnici dell'ambiente di trattamento sicuro utilizzato.
4.L'ente pubblico si riserva il diritto di verificare il processo, i mezzi e i risultati del trattamento dei dati o dei documenti effettuato dal riutilizzatore per preservare l'integrità della protezione dei dati o dei documenti. Esso si riserva altresì il diritto di vietare l'uso dei risultati che contengono informazioni che compromettono i diritti e gli interessi di terzi. La decisione di vietare l'utilizzo dei risultati è comprensibile e trasparente per il riutilizzatore.
A meno che il diritto nazionale preveda tutele specifiche sugli obblighi di riservatezza applicabili relativi al riutilizzo di determinate categorie di dati protetti, l'ente pubblico subordina il riutilizzo dei dati o dei documenti forniti conformemente al paragrafo 3 al rispetto, da parte del riutilizzatore, di un obbligo di riservatezza che vieti la divulgazione di qualsiasi informazione che comprometta i diritti e gli interessi di terzi e che il riutilizzatore possa aver acquisito malgrado le misure di tutela adottate. In caso di riutilizzo non autorizzato di dati non personali, il riutilizzatore è obbligato a informare senza ritardo, se opportuno con l'assistenza dell'ente pubblico, le persone fisiche o giuridiche i cui diritti e interessi possono essere lesi da tale riutilizzo.
5.Qualora non possa essere consentito conformemente ai paragrafi 3 e 4, il riutilizzo di dati o documenti è possibile solo:
a)con il consenso degli interessati, se non esiste una base giuridica diversa dal consenso per la trasmissione dei dati a norma del regolamento (UE) 2016/679;
b)con l'autorizzazione dei titolari dei dati i cui diritti e interessi possono essere lesi da tale riutilizzo.
L'ente pubblico si adopera al meglio, conformemente al diritto dell'Unione e nazionale, per fornire assistenza ai potenziali riutilizzatori nel chiedere il consenso degli interessati o l'autorizzazione dei titolari dei dati i cui diritti e interessi possono essere lesi da tale riutilizzo, ove ciò sia fattibile senza un onere sproporzionato per l'ente pubblico.
Qualora fornisca tale assistenza, l'ente pubblico può essere assistito dagli organismi competenti di cui all'articolo 32 septvicies.
Articolo 32 quinvicies
Requisiti per il trasferimento di dati non personali a paesi terzi da parte dei riutilizzatori
1.Qualora intenda trasferire a un paese terzo determinate categorie di dati protetti non personali, il riutilizzatore informa l'ente pubblico della sua intenzione di trasferire tali dati e della finalità di tale trasferimento al momento della richiesta di riutilizzo dei dati. In caso di riutilizzo sulla base dell'autorizzazione accordata dal titolare dei dati, il riutilizzatore informa, se opportuno con l'assistenza dell'ente pubblico, la persona fisica o giuridica i cui diritti e interessi possono essere lesi di tale intenzione, di tale finalità e delle tutele adeguate. L'ente pubblico non consente il riutilizzo a meno che la persona fisica o giuridica non dia l'autorizzazione al trasferimento.
2.Gli enti pubblici trasmettono dati riservati non personali o dati protetti da diritti di proprietà intellettuale a un riutilizzatore che intende trasferire tali dati a un paese terzo diverso da un paese designato in conformità del paragrafo 7 solo se il riutilizzatore si impegna contrattualmente:
a)a rispettare gli obblighi imposti in conformità dei diritti di proprietà intellettuale e del diritto dell'Unione o nazionale in materia di riservatezza commerciale o statistica anche dopo il trasferimento dei dati al paese terzo;
b)ad accettare la competenza degli organi giurisdizionali dello Stato membro dell'ente pubblico che trasmette i dati in merito a qualsiasi controversia relativa al rispetto dei diritti di proprietà intellettuale e del diritto dell'Unione o nazionale in materia di riservatezza commerciale o statistica.
3.La Commissione può adottare atti di esecuzione che stabiliscano clausole contrattuali tipo per il rispetto degli obblighi di cui al paragrafo 2 del presente articolo. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 46, paragrafo 2.
4.Gli enti pubblici forniscono, se del caso e nei limiti delle loro capacità, orientamenti e assistenza ai riutilizzatori affinché rispettino gli obblighi di cui al paragrafo 2.
5.Se giustificato da un numero considerevole di richieste in tutta l'Unione riguardanti il riutilizzo di dati non personali in determinati paesi terzi, la Commissione può adottare atti di esecuzione in cui è dichiarato che le disposizioni legislative, di vigilanza e in materia di applicazione di un paese terzo:
a)garantiscono una protezione della proprietà intellettuale e dei segreti commerciali sostanzialmente equivalente a quella garantita dal diritto dell'Unione;
b)sono applicate e fatte rispettare in modo efficace; e
c)consentono un ricorso giurisdizionale effettivo.
6.Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 46, paragrafo 2.
7.Specifici atti legislativi dell'Unione possono stabilire che determinate categorie di dati non personali detenuti da enti pubblici siano considerate altamente sensibili ai fini del presente articolo, laddove il loro trasferimento a paesi terzi possa mettere a rischio gli obiettivi di politica pubblica dell'Unione, quali la sicurezza e la salute pubblica, o possa comportare il rischio di una reidentificazione dei dati non personali anonimizzati. Qualora tale atto sia adottato, la Commissione adotta atti delegati conformemente all'articolo 45 al fine di integrare il presente regolamento stabilendo condizioni particolari applicabili ai trasferimenti di tali dati verso paesi terzi.
Qualora richiesto da un atto legislativo specifico dell'Unione di cui al primo comma, tali condizioni particolari possono includere termini applicabili al trasferimento o modalità tecniche ad esso relative, limitazioni per quanto riguarda il riutilizzo di dati in paesi terzi o categorie di persone autorizzate a trasferire tali dati a paesi terzi o, in casi eccezionali, restrizioni per quanto riguarda i trasferimenti a paesi terzi.
Il riutilizzatore cui è stato concesso il diritto di riutilizzo dei dati non personali può trasferire i dati solo ai paesi terzi per i quali sono soddisfatti i requisiti di cui ai paragrafi 2, 4 e 5.
Articolo 32 sexvicies
Tariffe
1.Gli enti pubblici che consentono il riutilizzo di determinate categorie di dati protetti possono imporre tariffe per consentire il riutilizzo di tali dati.
2.Qualora applichino tariffe, gli enti pubblici adottano misure per incentivare il riutilizzo di determinate categorie di dati protetti a fini non commerciali, quali la ricerca scientifica, e da parte delle start-up, delle PMI e delle piccole imprese a media capitalizzazione in conformità delle norme sugli aiuti di Stato dell'Unione. A tale riguardo, gli enti pubblici possono anche mettere a disposizione i dati a una tariffa ridotta o a titolo gratuito, in particolare per le start-up, le PMI, le piccole imprese a media capitalizzazione, la società civile e gli istituti di ricerca e istruzione. A tal fine, gli enti pubblici possono stilare un elenco di categorie di riutilizzatori a cui i dati o i documenti da riutilizzare sono forniti a una tariffa ridotta o a titolo gratuito. Detto elenco è reso pubblico unitamente ai criteri adottati per la sua redazione.
3.L'ammontare di eventuali tariffe deriva dai costi relativi allo svolgimento del procedimento delle richieste di riutilizzo di determinate categorie di dati protetti e si limita ai costi necessari per:
a)la riproduzione, la fornitura e la diffusione dei dati;
b)l'acquisizione dei diritti;
c)l'anonimizzazione o altre forme di preparazione dei dati personali e commerciali riservati di cui all'articolo 32 quatervicies, paragrafo 3 [condizioni per il riutilizzo];
d)il mantenimento dell'ambiente di trattamento sicuro;
e)l'acquisizione del diritto di consentire il riutilizzo conformemente alla presente sezione da parte di terzi esterni al settore pubblico, nonché l'assistenza ai riutilizzatori nel richiedere il consenso degli interessati e l'autorizzazione dei titolari dei dati i cui diritti e interessi possono essere lesi da tale riutilizzo.
4.I criteri e la metodologia di calcolo delle tariffe sono stabiliti dagli Stati membri e pubblicati. L'ente pubblico pubblica una descrizione delle principali categorie di costi e delle regole utilizzate per la ripartizione dei costi.
5.Gli enti pubblici possono imporre tariffe più elevate di quelle consentite a norma dei paragrafi 2 e 3 del presente articolo a imprese molto grandi, sulla base di criteri oggettivi, tenendo conto del potere economico o della capacità dell'entità di acquisire dati, nonché in particolare della sua designazione come gatekeeper a norma del regolamento (UE) 2022/1925. Le tariffe così calcolate sono proporzionate. Oltre agli elementi elencati al paragrafo 3 del presente articolo, tali tariffe possono coprire i costi di raccolta e produzione dei dati, maggiorati di un utile ragionevole sugli investimenti.
Articolo 32 septvicies
Organismi competenti
1.Ai fini dello svolgimento dei compiti di cui al presente articolo, ciascuno Stato membro designa uno o più organismi competenti a norma dell'articolo 37, paragrafo 1, che possono essere responsabili di settori specifici, ma che collettivamente devono coprire tutti i settori, al fine di assistere gli enti pubblici che concedono o rifiutano l'accesso per il riutilizzo di determinate categorie di dati protetti. Gli Stati membri possono istituire uno o più organismi competenti nuovi o avvalersi di enti pubblici esistenti o di servizi interni di enti pubblici che soddisfano le condizioni stabilite dalla presente sezione.
2.Agli organismi competenti può essere conferito il potere di concedere l'accesso per il riutilizzo di determinate categorie di dati protetti a norma del diritto dell'Unione o nazionale che prevede la concessione di tale accesso. Nel concedere o rifiutare l'accesso per il riutilizzo, tali organismi competenti sono soggetti agli articoli 32 duodecies, 32 quatervicies, 32 quinvicies, 32 sexvicies e 32 novovicies.
3.Gli organismi competenti dispongono di risorse giuridiche, finanziarie, tecniche e umane adeguate per svolgere i compiti loro affidati, nonché delle conoscenze tecniche necessarie per poter rispettare il pertinente diritto dell'Unione o nazionale in materia di regimi di accesso per le categorie di dati protetti di cui all'articolo 2, punto 54).
4.L'assistenza di cui al paragrafo 1, comprende, ove necessario:
a)la fornitura di assistenza tecnica mediante la messa a disposizione di un ambiente di trattamento sicuro per la fornitura dell'accesso ai fini del riutilizzo di dati o documenti;
b)la fornitura di orientamenti e assistenza tecnica su come strutturare e conservare al meglio i dati per rendere i dati o i documenti facilmente accessibili;
c)la fornitura di assistenza tecnica per l'anonimizzazione, la pseudonimizzazione e metodi all'avanguardia di tutela della vita privata, per quanto riguarda non solo i dati personali, ma anche le informazioni commerciali riservate, compresi i segreti commerciali o i contenuti protetti da diritti di proprietà intellettuale;
d)se del caso, la fornitura di assistenza agli enti pubblici affinché aiutino i riutilizzatori a richiedere agli interessati il consenso al riutilizzo o ai titolari dei dati l'autorizzazione al riutilizzo, in linea con le loro decisioni specifiche, anche in merito alla giurisdizione in cui si intende effettuare il trattamento dei dati, e la forntura di assistenza agli enti pubblici nell'istituzione di meccanismi tecnici che permettano di trasmettere le richieste di consenso o di autorizzazione formulate dai riutilizzatori, ove ciò sia fattibile nella pratica;
e)la fornitura di assistenza agli enti pubblici in merito alla valutazione dell'adeguatezza degli impegni contrattuali assunti da un riutilizzatore, a norma dell'articolo 32 quinvicies, paragrafo 2.
Articolo 32 octovicies
Sportello unico
1.Ogni Stato membro designa uno sportello unico. Tale sportello unico mette a disposizione informazioni facilmente accessibili in merito all'applicazione degli articoli 32 quatervicies, 32 quinvicies e 32 sexvicies.
2.È competenza dello sportello unico ricevere richieste di informazioni o richieste di riutilizzo di determinate categorie di dati protetti e trasmetterle, ove possibile e opportuno con mezzi automatizzati, agli enti pubblici competenti o, se del caso, agli organismi competenti di cui all'articolo 32 septvicies, paragrafo 1.
3.Lo sportello unico può prevedere un canale di informazione distinto, semplificato e ben documentato per le PMI, le piccole imprese a media capitalizzazione, le start-up e gli istituti di ricerca, che risponda alle loro esigenze e capacità di chiedere il riutilizzo delle categorie di dati di cui all'articolo 2, punto 54).
4.Lo sportello unico mette a disposizione per via elettronica un elenco consultabile delle risorse che comprende una panoramica di tutti i documenti disponibili, tra cui, se del caso, quelli disponibili presso gli sportelli settoriali, regionali e locali, contenente informazioni pertinenti che descrivono i dati o i documenti disponibili, compresi almeno il formato e le dimensioni dei dati e le condizioni per il loro riutilizzo.
5.La Commissione istituisce un punto di accesso unico europeo che offre un registro elettronico consultabile dei dati o dei documenti disponibili presso gli sportelli unici nazionali e ulteriori informazioni su come richiedere i dati o i documenti tramite tali sportelli unici nazionali.
Articolo 32 novovicies
Procedura per le richieste di riutilizzo
1.A meno che non siano stati stabiliti termini più brevi conformemente al diritto nazionale, gli enti pubblici competenti o gli organismi competenti di cui all'articolo 32 septvicies, paragrafo 1, adottano una decisione sulla richiesta di riutilizzo di determinate categorie di dati protetti entro due mesi dalla data di ricevimento della richiesta.
2.In caso di richieste per il riutilizzo eccezionalmente cospicue e complesse, tale periodo di due mesi può essere prorogato al massimo di 30 giorni. In tali casi, gli enti pubblici competenti o gli organismi competenti di cui all'articolo 32 septvicies, paragrafo 1, notificano il prima possibile al richiedente che occorre più tempo per svolgere la procedura e la relativa motivazione per il ritardo.
3.Qualsiasi persona fisica o giuridica direttamente interessata dalla decisione di cui al paragrafo 1 ha l'effettivo diritto di ricorso nello Stato membro in cui è situato l'organismo in questione. Tale diritto di ricorso è stabilito nel diritto nazionale e comprende la possibilità di revisione da parte di un organo imparziale dotato delle opportune competenze, come per esempio l'autorità nazionale garante della concorrenza, l'autorità competente per l'accesso ai documenti, l'autorità di controllo istituita a norma del regolamento (UE) 2016/679 o un'autorità giudiziaria nazionale, le cui decisioni sono vincolanti per l'ente pubblico o per l'organismo competente interessato.";
19.l'articolo 38 è sostituito dal seguente:
"1.Fatto salvo ogni altro ricorso amministrativo o giudiziario, le persone fisiche e giuridiche hanno il diritto di presentare un reclamo individuale o, se opportuno, collettivo:
a)alla pertinente autorità competente dello Stato membro in cui risiedono abitualmente, lavorano o sono stabilite, se ritengono che i loro diritti a norma del presente regolamento siano stati violati;
b)in relazione a qualunque aspetto che rientri nell'ambito di applicazione del presente regolamento, specificamente nei confronti di un fornitore di servizi di intermediazione dei dati riconosciuto o di un'organizzazione per l'altruismo dei dati riconosciuta, alla pertinente autorità competente per la registrazione dei servizi di intermediazione dei dati o alla pertinente autorità competente per la registrazione delle organizzazioni per l'altruismo dei dati.
2.Su richiesta, il coordinatore dei dati fornisce tutte le informazioni necessarie alle persone fisiche e giuridiche per presentare i loro reclami all'autorità competente appropriata.
3.L'autorità competente alla quale è stato presentato il reclamo informa il reclamante, conformemente al diritto nazionale:
a)dello stato del procedimento e della decisione adottata; e
b)dei ricorsi giurisdizionali di cui all'articolo 39.";
20.all'articolo 40 è inserito il paragrafo 6 seguente:
"6. Il presente articolo non si applica al capo VII quater.";
21.dopo l'articolo 41 è inserito il titolo seguente:
"CAPO IX bis
Comitato europeo per l'innovazione in materia di dati";
22.è inserito l'articolo 41 bis seguente:
"Articolo 41 bis
Comitato europeo per l'innovazione in materia di dati
1.Il comitato europeo per l'innovazione in materia di dati è istituito come strumento per fornire consulenza e assistenza alla Commissione nel coordinamento dell'applicazione del presente regolamento e come forum di discussione per lo sviluppo di un'economia europea dei dati e per l'elaborazione di politiche in materia di dati.
2.Tale comitato è composto almeno dai rappresentanti degli Stati membri competenti per le questioni relative ai dati, dalle autorità competenti per l'applicazione dei capi II, III, V, VII bis e VII quater del presente regolamento, dal comitato europeo per la protezione dei dati, dal Garante europeo della protezione dei dati, dall'ENISA, dal rappresentante dell'UE per le PMI o da un rappresentante nominato dalla rete dei rappresentanti per le PMI. La Commissione può decidere di aggiungere ulteriori categorie di membri. Nel nominare i singoli esperti, la Commissione mira a conseguire un equilibrio geografico e di genere tra i membri del gruppo.
3.La Commissione decide in merito alla composizione delle diverse configurazioni in cui il comitato svolgerà i suoi compiti.
4.La Commissione presiede le riunioni del comitato europeo per l'innovazione in materia di dati.";
23.l'articolo 42 è sostituito dal seguente:
"Articolo 42
Ruolo dell'EDIB
1.L'EDIB sostiene l'applicazione coerente del presente regolamento:
a)fungendo da forum per condurre discussioni strategiche sulle politiche in materia di dati, sulla governance dei dati, sui flussi internazionali di dati e sugli sviluppi intersettoriali pertinenti per l'economia europea dei dati;
b)consigliando e assistendo la Commissione nello sviluppo di una prassi coerente delle autorità competenti nell'esecuzione dei capi II, III, V, VII, VII bis e VII quater;
c)agevolando la cooperazione tra le autorità competenti attraverso lo sviluppo di capacità e lo scambio di informazioni;
d)promuovendo lo scambio di esperienze e buone pratiche tra gli Stati membri riguardo al riutilizzo dell'informazione del settore pubblico in collaborazione con altri organismi di governance competenti.";
24.l'articolo 45 è così modificato:
a)il paragrafo 2 è sostituito dal seguente:
"2. Il potere di adottare atti delegati di cui all'articolo 29, paragrafo 7, all'articolo 32 duovicies, paragrafo 2, e all'articolo 33, paragrafo 2, è conferito alla Commissione per un periodo indeterminato.";
b)il paragrafo 3 è sostituito dal seguente:
"3. La delega di potere di cui all'articolo 29, paragrafo 7, all'articolo 32 duovicies, paragrafo 2, e all'articolo 33, paragrafo 2, può essere revocata in qualsiasi momento dal Parlamento europeo o dal Consiglio. La decisione di revoca pone fine alla delega di potere ivi specificata. Gli effetti della decisione decorrono dal giorno successivo alla pubblicazione della decisione nella Gazzetta ufficiale dell'Unione europea o da una data successiva ivi specificata. Essa non pregiudica la validità degli atti delegati già in vigore.";
c)il paragrafo 6 è sostituito dal seguente:
"6. L'atto delegato adottato a norma dell'articolo 29, paragrafo 7, dell'articolo 32 duovicies, paragrafo 2, o dell'articolo 33, paragrafo 2, entra in vigore solo se né il Parlamento europeo né il Consiglio hanno sollevato obiezioni entro il termine di tre mesi dalla data in cui esso è stato loro notificato o se, prima della scadenza di tale termine, sia il Parlamento europeo che il Consiglio hanno informato la Commissione che non intendono sollevare obiezioni. Tale termine è prorogato di tre mesi su iniziativa del Parlamento europeo o del Consiglio.";
25.l'articolo 46 è così modificato:
a)al paragrafo 1, la prima frase è sostituita dalla seguente:
"La Commissione è assistita da un comitato. Esso è un comitato ai sensi del regolamento (UE) n. 182/2011.";
b)è inserito il seguente paragrafo 1 bis:
"1 bis. Nei casi in cui è fatto riferimento al presente paragrafo, si applica l'articolo 4 del regolamento (UE) n. 182/2011.";
26.l'articolo 49 è così modificato:
a)il paragrafo 1 è così modificato:
i)la frase introduttiva è sostituita dalla seguente:
"1. Entro il 12 settembre 2028 la Commissione effettua una valutazione dei capi II, III, IV, V, VI, VII e VIII e presenta al Parlamento europeo, al Consiglio e al Comitato economico e sociale europeo una relazione sulle principali conclusioni tratte. La valutazione verte in particolare sugli elementi seguenti:";
ii) la lettera m) è sostituita dalla seguente:
"m) l'impatto del presente regolamento sulle PMI e sulle piccole imprese a media capitalizzazione, riguardo alla loro capacità di innovare, alla disponibilità di servizi di trattamento dei dati per gli utenti dell'Unione e all'onere che comporta il rispetto dei nuovi obblighi.";
b)è inserito il seguente paragrafo 2 bis:
"2 bis. Entro il [data = cinque anni dopo l'entrata in vigore] la Commissione effettua una valutazione dei capi VII bis, VII ter e VII quater del presente regolamento e presenta al Parlamento europeo, al Consiglio e al Comitato economico e sociale europeo una relazione sulle principali conclusioni tratte.
La relazione verte in particolare sugli elementi seguenti:
a)lo stato delle registrazioni dei fornitori di servizi di intermediazione dei dati e il tipo di servizi da essi offerti;
b)il tipo di organizzazioni per l'altruismo dei dati registrate e una panoramica degli obiettivi di interesse generale per cui i dati sono condivisi al fine di stabilire criteri chiari a tale riguardo;
c)l'ambito di applicazione e l'impatto sociale ed economico del capo VII quater, sezione 2, compresi
d)l'entità dell'aumento del riutilizzo dei documenti del settore pubblico cui si applica il capo VII quater, sezione 2, in particolare da parte delle PMI e delle piccole imprese a media capitalizzazione;
e)l'impatto delle serie di dati di elevato valore;
f)l'interazione tra le norme in materia di protezione dei dati e le possibilità di riutilizzo;
g)le informazioni fornite dagli Stati membri alla Commissione, necessarie per elaborare tale relazione.";
c)il paragrafo 5 è sostituito dal seguente:
"5. Sulla base delle relazioni di cui ai paragrafi 1, 2 e 2 bis, la Commissione può presentare, se del caso, una proposta legislativa al Parlamento europeo e al Consiglio al fine di modificare il presente regolamento.";
27.l'allegato I è aggiunto come indicato nell'allegato II del presente regolamento.
Articolo 2
Modifiche del regolamento (UE) 2018/1724
Nella tabella di cui all'allegato II del regolamento (UE) 2018/1724, la voce "Avvio, gestione e chiusura di un'impresa" è sostituita dalla seguente:
|
Eventi della vita
|
Procedure
|
Risultati previsti fatta salva una valutazione della domanda da parte dell'autorità competente conformemente al diritto nazionale, se del caso
|
|
Avvio, gestione e chiusura di un'impresa
|
Notifica di un'attività commerciale, licenza per l'esercizio di un'attività commerciale, modifiche di un'attività commerciale e cessazione di un'attività commerciale senza procedure di insolvenza o liquidazione, esclusa la registrazione iniziale di un'attività commerciale nel registro delle imprese ed escluse le procedure relative alla costituzione di imprese o società ai sensi dell'articolo 54, secondo comma, TFUE, o a qualsiasi fascicolo presentato successivamente da queste ultime
|
Conferma di ricevimento della notifica o della modifica, o della richiesta di licenza di attività commerciale
|
|
|
Iscrizione di un datore di lavoro (persona fisica) presso i regimi pensionistici e assicurativi obbligatori
|
Conferma della registrazione o numero di sicurezza sociale
|
|
|
Iscrizione di dipendenti presso i regimi pensionistici e assicurativi obbligatori
|
Conferma della registrazione o numero di sicurezza sociale
|
|
|
Presentazione di una dichiarazione dei redditi d'impresa
|
Conferma di ricevimento della dichiarazione
|
|
|
Notifica ai regimi di sicurezza sociale della fine del contratto con un dipendente, escluse le procedure per la risoluzione collettiva dei contratti dei dipendenti
|
Conferma di ricevimento della notifica
|
|
|
Pagamento dei contributi sociali per i lavoratori dipendenti
|
Ricevimento o altra forma di conferma del pagamento dei contributi sociali per i lavoratori dipendenti
|
|
|
Registrazione come fornitore di servizi di intermediazione dei dati
|
Conferma della registrazione
|
|
|
Registrazione come organizzazione per l'altruismo dei dati riconosciuta nell'Unione
|
Conferma della registrazione
|
Articolo 3
Modifiche del regolamento (UE) 2016/679 (GDPR)
Il regolamento (UE) 2016/679 è così modificato:
1. l'articolo 4 è così modificato:
(a)al punto 1) sono aggiunte le frasi seguenti:
"le informazioni relative a una persona fisica non sono necessariamente dati personali per qualsiasi altra persona o entità per il solo fatto che un'altra entità può identificare tale persona fisica. Le informazioni non sono personali per una determinata entità se quest'ultima non è in grado di identificare la persona fisica cui si riferiscono le informazioni, tenendo conto dei mezzi di cui tale entità si può ragionevolmente avvalere. Tali informazioni non diventano personali per tale entità per il solo fatto che un potenziale destinatario successivo dispone di mezzi di cui si può ragionevolmente avvalere per identificare la persona fisica cui le informazioni si riferiscono;";
(b)sono aggiunti i punti seguenti:
"32) "apparecchiature terminali": apparecchiature terminali quali definite all'articolo 1, punto 1), della direttiva 2008/63/CE;
33) "reti di comunicazione elettronica": reti quali definite all'articolo 2, punto 1), della direttiva (UE) 2018/1972;
34) "browser web": browser web quale definito all'articolo 2, punto 11), del regolamento (UE) 2022/1925;
35) "servizio di media": servizio di media quale definito all'articolo 2, punto 1), del regolamento (UE) 2024/1083;
36) "fornitore di servizi di media": fornitore di servizi di media quale definito all'articolo 2, punto 2), del regolamento (UE) 2024/1083;
37) "interfaccia online": interfaccia online quale definita all'articolo 3, lettera m), del regolamento (UE) 2022/2065;
38) "ricerca scientifica": qualsiasi tipo di ricerca che possa anche favorire l'innovazione, come lo sviluppo tecnologico e la dimostrazione. Le azioni condotte nel quadro di tale ricerca contribuiscono al miglioramento delle conoscenze scientifiche esistenti o applicano tali conoscenze in modi nuovi, hanno l'obiettivo di contribuire ad accrescere le conoscenze e il benessere generali della società e rispettano le norme etiche nel settore di ricerca pertinente. Ciò non esclude che la ricerca possa anche mirare a promuovere un interesse commerciale.";
2.all'articolo 5, paragrafo 1, la lettera b) è sostituita dalla seguente:
"raccolti per finalità determinate, esplicite e legittime e successivamente trattati in un modo non incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici è, conformemente all'articolo 89, paragrafo 1, considerato compatibile con le finalità iniziali, indipendentemente dalle condizioni di cui all'articolo 6, paragrafo 4, del presente regolamento ("limitazione della finalità");";
3.l'articolo 9 è così modificato:
(a)al paragrafo 2 sono aggiunte le lettere seguenti:
"k) il trattamento è effettuato nel contesto dello sviluppo e del funzionamento di un sistema di IA quale definito all'articolo 3, punto 1), del regolamento (UE) 2024/1689 o di un modello di IA, fatte salve le condizioni di cui al paragrafo 5;
l) il trattamento dei dati biometrici è necessario per confermare l'identità dell'interessato (verifica), se i dati biometrici o i mezzi necessari alla verifica sono sotto il controllo esclusivo dell'interessato.";
(b)è aggiunto il paragrafo seguente:
"5. Per il trattamento di cui al paragrafo 2, lettera k), sono adottate misure organizzative e tecniche adeguate per evitare la raccolta e il trattamento di categorie particolari di dati personali. Qualora, nonostante l'adozione di tali misure, dovesse individuare categorie particolari di dati personali negli insiemi di dati utilizzati a fini di addestramento, prova o convalida oppure all'interno del sistema di IA o del modello di IA, il titolare del trattamento rimuove tali dati. Qualora la rimozione di tali dati richieda uno sforzo sproporzionato, il titolare del trattamento protegge in ogni caso efficacemente e senza indebito ritardo tali dati affinché non siano utilizzati per produrre output, non siano divulgati o non siano messi in altro modo a disposizione di terzi.";
4.all'articolo 12, il paragrafo 5 è sostituito dal seguente:
"5. Le informazioni fornite a norma degli articoli 13 e 14 ed eventuali comunicazioni e azioni intraprese a norma degli articoli da 15 a 22 e dell'articolo 34 sono gratuite. Qualora le richieste dell'interessato siano manifestamente infondate o eccessive, in particolare per il loro carattere ripetitivo o anche, per quanto riguarda le richieste di cui all'articolo 15, in quanto l'interessato viola i diritti conferiti dal presente regolamento per finalità diverse dalla protezione dei suoi dati, il titolare del trattamento può:
a)addebitare un contributo spese ragionevole tenendo conto dei costi amministrativi sostenuti per fornire le informazioni o la comunicazione o intraprendere l'azione richiesta; oppure
b)rifiutare di soddisfare la richiesta.
Incombe al titolare del trattamento l'onere di dimostrare che la richiesta è manifestamente infondata o che vi sono ragionevoli motivi per ritenere che sia eccessiva.";
5.all'articolo 13, il paragrafo 4 è sostituito dal seguente:
"4. I paragrafi 1, 2 e 3 non si applicano se i dati personali sono stati raccolti nel contesto di una relazione chiara e circoscritta tra gli interessati e un titolare del trattamento che esercita un'attività che non è ad alta intensità di dati e vi sono ragionevoli motivi per presumere che l'interessato disponga già delle informazioni di cui al paragrafo 1, lettere a) e c), a meno che il titolare del trattamento non trasmetta i dati ad altri destinatari o categorie di destinatari, trasferisca i dati a un paese terzo, effettui un processo decisionale automatizzato, compresa la profilazione, di cui all'articolo 22, paragrafo 1, o il trattamento possa presentare un rischio elevato per i diritti e le libertà degli interessati ai sensi dell'articolo 35.";
6.all'articolo 13 è aggiunto il seguente paragrafo 5:
"5. Qualora il trattamento abbia luogo per finalità di ricerca scientifica e la fornitura delle informazioni di cui ai paragrafi 1, 2 e 3 si riveli impossibile o implichi uno sforzo sproporzionato, fatte salve le condizioni e le garanzie di cui all'articolo 89, paragrafo 1, o nella misura in cui vi sia la probabilità che l'obbligo di cui al paragrafo 1 del presente articolo renda impossibile o pregiudichi gravemente il conseguimento delle finalità di tale trattamento, il titolare del trattamento non è tenuto a fornire le informazioni di cui ai paragrafi 1, 2 e 3. In tali casi, il titolare del trattamento adotta misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell'interessato, anche rendendo pubbliche le informazioni.";
7.all'articolo 22, i paragrafi 1 e 2 sono sostituiti dai seguenti:
"1. Una decisione che produca effetti giuridici per un interessato o che incida in modo analogamente significativo sulla sua persona può essere basata unicamente su un trattamento automatizzato, compresa la profilazione, solo se tale decisione:
a) è necessaria per la conclusione o l'esecuzione di un contratto tra l'interessato e un titolare del trattamento, indipendentemente dal fatto che la decisione possa essere presa con mezzi diversi da quelli esclusivamente automatizzati;
b) è autorizzata dal diritto dell'Unione o dello Stato membro cui è soggetto il titolare del trattamento, che precisa altresì misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell'interessato; oppure
c)si basa sul consenso esplicito dell'interessato.";
8.l'articolo 33 è così modificato:
(a)il paragrafo 1 è sostituito dal seguente:
"1. In caso di violazione dei dati personali suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento notifica la violazione all'autorità di controllo competente conformemente agli articoli 55 e 56 tramite il punto di accesso unico istituito a norma dell'articolo 23 bis della direttiva (UE) 2022/2555, senza ingiustificato ritardo e, ove possibile, entro 96 ore dal momento in cui ne è venuto a conoscenza. Qualora la notifica all'autorità di controllo non sia effettuata entro 96 ore, è corredata dei motivi del ritardo.";
(b)è aggiunto il paragrafo seguente:
"1 bis. Finché non sarà istituito il punto di accesso unico a norma dell'articolo 23 bis della direttiva (UE) 2022/2555, i titolari del trattamento continuano a notificare le violazioni dei dati personali direttamente all'autorità di controllo competente conformemente agli articoli 55 e 56.";
(c)sono aggiunti i paragrafi seguenti:
"6. Il comitato redige e trasmette alla Commissione una proposta di modello comune per la notifica di una violazione dei dati personali all'autorità di controllo competente di cui al paragrafo 1, nonché di un elenco delle circostanze in cui tale violazione può presentare un rischio elevato per i diritti e le libertà di una persona fisica. Le proposte sono presentate alla Commissione entro il [OP, inserire la data = nove mesi dopo l'entrata in applicazione del presente regolamento]. La Commissione, previa debita valutazione, le riesamina, se necessario, e ha il potere di adottarle mediante un atto di esecuzione secondo la procedura d'esame di cui all'articolo 93, paragrafo 2.
7. Il modello e l'elenco di cui al paragrafo 6 sono riesaminati almeno ogni tre anni e aggiornati se necessario. Il comitato presenta a tempo debito la sua valutazione ed eventuali proposte di aggiornamento alla Commissione. La Commissione, dopo aver debitamente valutato le proposte, le riesamina e ha il potere di adottare eventuali aggiornamenti secondo la procedura di cui al paragrafo 6.";
9.l'articolo 35 è così modificato:
(a)i paragrafi 4, 5 e 6 sono sostituiti dai seguenti:
"4. Il comitato redige e trasmette alla Commissione una proposta di elenco delle tipologie di trattamenti soggetti all'obbligo di una valutazione d'impatto sulla protezione dei dati a norma del paragrafo 1.
5. Il comitato redige e trasmette alla Commissione una proposta di elenco delle tipologie di trattamenti per le quali non è richiesta una valutazione d'impatto sulla protezione dei dati.
6. Il comitato redige e trasmette alla Commissione una proposta relativa a un modello comune e a una metodologia comune per lo svolgimento delle valutazioni d'impatto sulla protezione dei dati.";
(b)sono inseriti i paragrafi seguenti:
"6 bis. Le proposte relative agli elenchi di cui ai paragrafi 4 e 5 e al modello e alla metodologia di cui al paragrafo 6 sono presentate alla Commissione entro il [OP, inserire la data = nove mesi dopo l'entrata in applicazione del presente regolamento]. La Commissione, previa debita valutazione, le riesamina, se necessario, e ha il potere di adottarle mediante un atto di esecuzione secondo la procedura d'esame di cui all'articolo 93, paragrafo 2.
6 ter. Gli elenchi, il modello e la metodologia di cui al paragrafo 6 bis sono riesaminati almeno ogni tre anni e aggiornati se necessario. Il comitato presenta a tempo debito la sua valutazione ed eventuali proposte di aggiornamento alla Commissione. La Commissione, dopo aver debitamente valutato le proposte, le riesamina e ha il potere di adottare eventuali aggiornamenti secondo la procedura di cui al paragrafo 6 bis.
6 quater. Gli elenchi delle tipologie di trattamenti soggetti all'obbligo di una valutazione d'impatto sulla protezione dei dati e delle tipologie di trattamenti per le quali non è richiesta una valutazione d'impatto sulla protezione dei dati, stabiliti e resi pubblici dalle autorità di controllo, restano validi fino all'adozione, da parte della Commissione, dell'atto di esecuzione di cui al paragrafo 6 bis.";
10.è aggiunto l'articolo seguente:
"Articolo 41 bis
1.La Commissione può adottare atti di esecuzione per specificare i mezzi e i criteri volti a determinare se i dati risultanti dalla pseudonimizzazione non costituiscono più dati personali per determinate entità.
2.Ai fini del paragrafo 1, la Commissione:
a)valuta se le tecniche disponibili sono all'avanguardia;
b)elabora criteri e/o categorie per i titolari del trattamento e i destinatari al fine di valutare il rischio di reidentificazione in relazione ai destinatari tipici dei dati.
3.L'applicazione dei mezzi e dei criteri delineati in un atto di esecuzione può essere usata per dimostrare che i dati non possono portare alla reidentificazione degli interessati.
4.La Commissione coinvolge attivamente il comitato europeo per la protezione dei dati nell'elaborazione degli atti di esecuzione. Il comitato europeo per la protezione dei dati esprime un parere sui progetti di atti di esecuzione entro un termine di otto settimane dal ricevimento del progetto da parte della Commissione.
5.Gli atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 93, paragrafo 3.";
11.all'articolo 57, il paragrafo 1 è così modificato:
(a)la lettera k) è soppressa;
12.all'articolo 64, paragrafo 1, la lettera a) è soppressa;
13.all'articolo 70, paragrafo 1, la lettera h) è soppressa;
14.all'articolo 70, paragrafo 1, sono inserite le lettere seguenti:
"h bis) redige e trasmette alla Commissione una proposta di elenco delle tipologie di trattamenti soggetti all'obbligo di una valutazione d'impatto sulla protezione dei dati e per i quali non è richiesta una valutazione d'impatto sulla protezione dei dati, a norma dell'articolo 35;
h ter) redige e trasmette alla Commissione una proposta relativa a un modello comune e a una metodologia comune per lo svolgimento delle valutazioni d'impatto sulla protezione dei dati, a norma dell'articolo 35;
h quater) redige e trasmette alla Commissione una proposta di modello comune per la notifica di una violazione dei dati personali all'autorità di controllo competente nonché una proposta di elenco delle circostanze in cui una violazione dei dati personali può presentare un rischio elevato per i diritti e le libertà di una persona fisica a norma dell'articolo 33;";
15.dopo l'articolo 88 sono aggiunti gli articoli seguenti:
"Articolo 88 bis
Trattamento dei dati personali nelle apparecchiature terminali delle persone fisiche
1.La conservazione di dati personali nell'apparecchiatura terminale di una persona fisica o l'accesso a dati personali già conservati in tale apparecchiatura sono consentiti solo se tale persona ha espresso il proprio consenso, conformemente al presente regolamento.
2.Il paragrafo 1 non preclude la conservazione di dati personali nell'apparecchiatura terminale di una persona fisica o l'accesso a dati personali già conservati in tale apparecchiatura, sulla base del diritto dell'Unione o degli Stati membri ai sensi e alle condizioni dell'articolo 6, per salvaguardare gli obiettivi di cui all'articolo 23, paragrafo 1.
3.La conservazione di dati personali nell'apparecchiatura terminale di una persona fisica o l'accesso a dati personali già conservati in tale apparecchiatura senza consenso e il successivo trattamento sono leciti nella misura in cui sono necessari per:
a)effettuare la trasmissione di una comunicazione elettronica su una rete di comunicazione elettronica;
b)fornire un servizio esplicitamente richiesto dall'interessato;
c)generare informazioni aggregate sull'utilizzo di un servizio online per quantificare gli utenti di tale servizio, qualora ciò sia effettuato dal titolare del trattamento di tale servizio online esclusivamente per uso proprio;
d)mantenere o ripristinare la sicurezza di un servizio fornito dal titolare del trattamento e richiesto dall'interessato o dall'apparecchiatura terminale utilizzata per la fornitura di tale servizio.
4.Qualora la conservazione di dati personali nell'apparecchiatura terminale di una persona fisica o l'accesso a dati personali già conservati in tale apparecchiatura siano basati sul consenso, si applicano le seguenti disposizioni:
a)l'interessato può respingere le richieste di consenso in modo semplice e comprensibile con un solo click o modalità equivalenti;
b)se l'interessato dà il proprio consenso, il titolare del trattamento non presenta una nuova richiesta di consenso per la stessa finalità per il periodo durante il quale può legittimamente avvalersi del consenso dell'interessato;
c)se l'interessato rifiuta una richiesta di consenso, il titolare del trattamento non presenta una nuova richiesta di consenso per la stessa finalità per un periodo di almeno sei mesi.
Il presente paragrafo si applica anche al successivo trattamento dei dati personali basato sul consenso.
5.Il presente articolo si applica a decorrere dal [OP, inserire la data = sei mesi dopo l'entrata in vigore del presente regolamento].
Articolo 88 ter
Indicazioni automatizzate e leggibili da dispositivo automatico delle scelte dell'interessato in relazione al trattamento dei dati personali nelle apparecchiature terminali delle persone fisiche
1.I titolari del trattamento garantiscono che le loro interfacce online consentano agli interessati di:
a)prestare il proprio consenso con mezzi automatizzati e leggibili da dispositivo automatico, purché siano soddisfatte le condizioni per il consenso stabilite nel presente regolamento;
b)respingere una richiesta di consenso ed esercitare il diritto di opposizione a norma dell'articolo 21, paragrafo 2, con mezzi automatizzati e leggibili da dispositivo automatico.
2.I titolari del trattamento rispettano le scelte effettuate dagli interessati conformemente al paragrafo 1.
3.I paragrafi 1 e 2 non si applicano ai titolari del trattamento che sono fornitori di servizi di media quando forniscono un servizio di media.
4.Conformemente all'articolo 10, paragrafo 1, del regolamento (UE) n. 1025/2012, la Commissione chiede a una o più organizzazioni europee di normazione di elaborare norme per l'interpretazione delle indicazioni leggibili da dispositivo automatico delle scelte degli interessati.
Le interfacce online dei titolari del trattamento che sono conformi alle norme armonizzate o a parti di esse i cui riferimenti sono stati pubblicati nella Gazzetta ufficiale dell'Unione europea sono considerate conformi alle prescrizioni contemplate da tali norme o da parti di esse di cui al paragrafo 1.
5.I paragrafi 1 e 2 si applicano a decorrere dal [OP, inserire la data = 24 mesi dopo la data di entrata in vigore del presente regolamento].
6.I fornitori di browser web che non sono PMI mettono a disposizione mezzi tecnici per consentire agli interessati di prestare il proprio consenso, respingere una richiesta di consenso ed esercitare il diritto di opposizione a norma dell'articolo 21, paragrafo 2 mediante i mezzi automatizzati e leggibili da dispositivo automatico di cui al paragrafo 1 del presente articolo, applicato a norma dei paragrafi da 2 a 5 del presente articolo.
7.Il paragrafo 6 si applica a decorrere dal [OP, inserire la data = 48 mesi dopo la data di entrata in vigore del presente regolamento].
Articolo 88 quater
Trattamento nel contesto dello sviluppo e del funzionamento dell'IA
Qualora il trattamento dei dati personali sia necessario al fine di tutelare gli interessi del titolare del trattamento nel contesto dello sviluppo e del funzionamento di un sistema di IA quale definito all'articolo 3, punto 1), del regolamento (UE) 2024/1689 o di un modello di IA, tale trattamento può essere effettuato per il perseguimento di interessi legittimi ai sensi dell'articolo 6, paragrafo 1, lettera f), del regolamento (UE) 2016/679, se del caso, tranne qualora altre normative dell'Unione o nazionali richiedano esplicitamente il consenso e qualora su tali interessi prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che prevedono la protezione dei dati personali, in particolare se l'interessato è un minore.
Qualsiasi trattamento di questo tipo è soggetto a misure organizzative e tecniche nonché a garanzie adeguate per la tutela dei diritti e delle libertà dell'interessato, ad esempio per garantire il rispetto del principio della minimizzazione dei dati durante la fase di selezione delle fonti e la fase di addestramento e di prova di un sistema di IA o di un modello di IA e per evitare che non siano divulgati i dati rimasti nel sistema di IA o nel modello di IA al fine di garantire una maggiore trasparenza agli interessati e assicurare a questi ultimi il diritto incondizionato di opporsi al trattamento dei loro dati personali.".
Articolo 4
Modifiche del regolamento (UE) 2018/1725 (EUDPR)
Il regolamento (UE) 2018/1725 è così modificato:
1.l'articolo 3 è così modificato:
(a)al punto 1) sono aggiunte le frasi seguenti:
"le informazioni relative a una persona fisica non sono necessariamente dati personali per qualsiasi altra persona o entità per il solo fatto che un'altra entità può identificare tale persona fisica. Le informazioni non sono personali per una determinata entità se quest'ultima non è in grado di identificare la persona fisica cui si riferiscono le informazioni, tenendo conto dei mezzi di cui tale entità si può ragionevolmente avvalere. Tali informazioni non diventano personali per tale entità per il solo fatto che un potenziale destinatario successivo dispone di mezzi di cui si può ragionevolmente avvalere per identificare la persona fisica cui le informazioni si riferiscono;";
(b)il punto 25) è sostituito dal seguente:
25) "reti di comunicazione elettronica": reti quali definite all'articolo 2, punto 1), della direttiva (UE) 2018/1972;";
(c)sono aggiunti i punti seguenti:
"27) "applicazioni mobili": applicazioni mobili quali definite all'articolo 3, punto 2), della direttiva (UE) 2016/2102;
28) "interfaccia online": interfaccia online quale definita all'articolo 3, lettera m), del regolamento (UE) 2022/2065;
29) "ricerca scientifica": qualsiasi tipo di ricerca che possa anche favorire l'innovazione, come lo sviluppo tecnologico e la dimostrazione. Le azioni condotte nel quadro di tale ricerca contribuiscono al miglioramento delle conoscenze scientifiche esistenti o applicano tali conoscenze in modi nuovi, hanno l'obiettivo di contribuire ad accrescere le conoscenze e il benessere generali della società e rispettano le norme etiche nel settore di ricerca pertinente. Ciò non esclude che la ricerca possa anche mirare a promuovere un interesse commerciale.";
2.all'articolo 4, paragrafo 1, la lettera b) è sostituita dalla seguente:
"b) raccolti per finalità determinate, esplicite e legittime e successivamente trattati in un modo non incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici è, conformemente all'articolo 13, considerato compatibile con le finalità iniziali, indipendentemente dalle condizioni di cui all'articolo 6 del presente regolamento ("limitazione della finalità");";
3.l'articolo 10 è così modificato:
(a)al paragrafo 2 sono aggiunte le lettere seguenti:
"k) il trattamento è effettuato nel contesto dello sviluppo e del funzionamento di un sistema di IA quale definito all'articolo 3, punto 1), del regolamento (UE) 2024/1689 o di un modello di IA, fatte salve le condizioni di cui al paragrafo 4; .
l) il trattamento dei dati biometrici è necessario per confermare l'identità dell'interessato (verifica), se i dati biometrici o i mezzi necessari alla verifica sono sotto il controllo esclusivo dell'interessato.";
(b)è aggiunto il seguente paragrafo 4:
"4. Per il trattamento di cui al paragrafo 2, lettera k), sono adottate misure organizzative e tecniche adeguate per evitare la raccolta e il trattamento di categorie particolari di dati personali. Qualora, nonostante l'adozione di tali misure, dovesse individuare categorie particolari di dati personali negli insiemi di dati utilizzati a fini di addestramento, prova o convalida oppure all'interno del sistema di IA o del modello di IA, il titolare del trattamento rimuove tali dati. Qualora la rimozione di tali dati richieda uno sforzo sproporzionato, il titolare del trattamento protegge in ogni caso efficacemente e senza indebito ritardo tali dati affinché non siano utilizzati per produrre output, non siano divulgati o non siano messi in altro modo a disposizione di terzi.";
4.all'articolo 14, il paragrafo 5 è sostituito dal seguente:
"5. Le informazioni fornite a norma degli articoli 15 e 16 ed eventuali comunicazioni e azioni intraprese a norma degli articoli da 17 a 24 e dell'articolo 35 sono gratuite. Qualora le richieste dell'interessato siano manifestamente infondate o eccessive, in particolare per il loro carattere ripetitivo o anche, per quanto riguarda le richieste di cui all'articolo 17, in quanto l'interessato viola i diritti conferiti dal presente regolamento per finalità diverse dalla protezione dei suoi dati, il titolare del trattamento può rifiutare di soddisfare la richiesta. Incombe al titolare del trattamento l'onere di dimostrare che la richiesta è manifestamente infondata o che vi sono ragionevoli motivi per ritenere che sia eccessiva.";
5.all'articolo 15 è inserito il paragrafo 5 seguente:
"5. Qualora il trattamento abbia luogo per finalità di ricerca scientifica e la fornitura delle informazioni di cui ai paragrafi 1, 2 e 3 si riveli impossibile o implichi uno sforzo sproporzionato, fatte salve le condizioni e le garanzie di cui all'articolo 13, o nella misura in cui vi sia la probabilità che l'obbligo di cui al paragrafo 1 del presente articolo renda impossibile o pregiudichi gravemente il conseguimento delle finalità di tale trattamento, il titolare del trattamento non è tenuto a fornire le informazioni di cui ai paragrafi 1, 2 e 3. In tali casi, il titolare del trattamento adotta misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell'interessato, anche rendendo pubbliche le informazioni.";
6.all'articolo 24, i paragrafi 1 e 2 sono sostituiti dai seguenti:
"1. Una decisione che produca effetti giuridici per un interessato o che incida in modo analogamente significativo sulla sua persona può essere basata unicamente su un trattamento automatizzato, compresa la profilazione, solo se tale decisione:
a)è necessaria per la conclusione o l'esecuzione di un contratto tra l'interessato e un titolare del trattamento, indipendentemente dal fatto che la decisione possa essere presa con mezzi diversi da quelli esclusivamente automatizzati;
b)è autorizzata dal diritto dell'Unione cui è soggetto il titolare del trattamento, che precisa altresì misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell'interessato; oppure
c)si basa sul consenso esplicito dell'interessato.";
7.all'articolo 34, il paragrafo 1 è sostituito dal seguente:
"1. In caso di violazione dei dati personali suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento notifica la violazione al Garante europeo della protezione dei dati senza ingiustificato ritardo e, ove possibile, entro 96 ore dal momento in cui ne è venuto a conoscenza. Qualora la notifica al Garante europeo della protezione dei dati non sia effettuata entro 96 ore, è corredata dei motivi del ritardo.";
8.all'articolo 37 sono aggiunti i paragrafi seguenti:
"2. La conservazione di dati personali nell'apparecchiatura terminale di una persona fisica o l'accesso a dati personali già conservati in tale apparecchiatura sono consentiti solo se tale persona ha espresso il proprio consenso, conformemente al presente regolamento.
3. Il paragrafo 1 non preclude la conservazione di dati personali nell'apparecchiatura terminale di una persona fisica o l'accesso a dati personali già conservati in tale apparecchiatura, sulla base del diritto dell'Unione ai sensi e alle condizioni dell'articolo 5, per salvaguardare gli obiettivi di cui all'articolo 25, paragrafo 1.
4. La conservazione di dati personali nell'apparecchiatura terminale di una persona fisica o l'accesso a dati personali già conservati in tale apparecchiatura senza consenso e il successivo trattamento sono leciti nella misura in cui sono necessari per:
a) effettuare la trasmissione di una comunicazione elettronica su una rete di comunicazione elettronica;
b) fornire un servizio esplicitamente richiesto dall'interessato;
c) generare informazioni aggregate sull'utilizzo di un servizio online per quantificare gli utenti di tale servizio, qualora ciò sia effettuato dal titolare del trattamento di tale servizio online esclusivamente per uso proprio;
d) mantenere o ripristinare la sicurezza di un servizio fornito dal titolare del trattamento e richiesto dall'interessato o dall'apparecchiatura terminale utilizzata per la fornitura di tale servizio.
5. Qualora la conservazione di dati personali nell' apparecchiatura terminale di una persona fisica o l'accesso a dati personali già conservati in tale apparecchiatura siano basati sul consenso, si applicano le seguenti disposizioni:
a) l'interessato può respingere le richieste di consenso in modo semplice e comprensibile con un solo click o modalità equivalenti;
b) se l'interessato dà il proprio consenso, il titolare del trattamento non presenta una nuova richiesta di consenso per la stessa finalità per il periodo durante il quale può legittimamente avvalersi del consenso dell'interessato;
c) se l'interessato rifiuta una richiesta di consenso, il titolare del trattamento non presenta una nuova richiesta di consenso per la stessa finalità per un periodo di almeno sei mesi.
Il presente paragrafo si applica anche al successivo trattamento dei dati personali basato sul consenso.
6. Il presente articolo si applica a decorrere dal [OP, inserire la data = sei mesi dopo l'entrata in vigore del presente regolamento].
7. I titolari del trattamento garantiscono che le loro interfacce online consentano agli interessati di:
a) prestare il proprio consenso con mezzi automatizzati e leggibili da dispositivo automatico, purché siano soddisfatte le condizioni per il consenso stabilite nel presente regolamento;
b) respingere una richiesta di consenso con mezzi automatizzati e leggibili da dispositivo automatico.
8. I titolari del trattamento rispettano le scelte effettuate dagli interessati conformemente al paragrafo 7.
9. Le interfacce online dei titolari del trattamento che sono conformi alle norme armonizzate o a parti di esse di cui all'articolo 88 ter, paragrafo 4, del regolamento (UE) 2016/679 sono considerate conformi alle prescrizioni contemplate da tali norme o da parti di esse di cui al paragrafo 7.
10. I paragrafi da 7 a 9 si applicano a decorrere dal [OP, inserire la data = 24 mesi dopo la data di entrata in vigore del presente regolamento];
8.l'articolo 39 è così modificato:
a)il paragrafo 4 è sostituito dal seguente:
"4. Gli elenchi, il modello e la metodologia adottati dalla Commissione, di cui all'articolo 35, paragrafo 6 bis, del regolamento (UE) 2016/679, si applicano al trattamento dei dati personali a norma del presente regolamento.";
b)i paragrafi 5 e 6 sono soppressi;
9.è aggiunto l'articolo seguente:
"Articolo 45 bis
I criteri comuni adottati dalla Commissione, di cui all'articolo 41 bis del regolamento (UE) 2016/679, si applicano al trattamento dei dati personali a norma del presente regolamento.".
Articolo 5
Modifiche della direttiva 2002/58/CE (direttiva e-privacy)
La direttiva 2002/58/CE è così modificata:
1.l'articolo 4 è soppresso;
2.dopo l'articolo 5, paragrafo 3, è aggiunto il comma seguente:
"Il presente paragrafo non si applica se l'abbonato o l'utente è una persona fisica e le informazioni archiviate o consultate sono dati personali o ne comportano il trattamento.".
Articolo 6
Modifiche della direttiva (UE) 2022/2555
La direttiva (UE) 2022/2555 è così modificata:
1.è aggiunto il seguente articolo 23 bis:
"Articolo 23 bis
Punto di accesso unico per la segnalazione di incidenti
1.L'ENISA istituisce e mantiene un punto di accesso unico con l'obiettivo di sostenere il rispetto dell'obbligo di segnalare incidenti ed eventi correlati a norma degli atti giuridici dell'Unione che lo prevedono ("punto di accesso unico"). Fatto salvo l'articolo 16 del regolamento (UE) 2024/2847 del Parlamento europeo e del Consiglio, l'ENISA può garantire che il punto di accesso unico si basi sulla piattaforma unica di segnalazione istituita a norma di tale regolamento.
2.L'ENISA adotta misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi posti alla sicurezza del punto di accesso unico e alle informazioni trasmesse o diffuse attraverso di esso. L'ENISA tiene conto della sensibilità delle informazioni trasmesse o diffuse a norma degli atti giuridici dell'Unione di cui al paragrafo 1 e garantisce che le autorità competenti a norma di tali atti abbiano accesso alle informazioni e le trattino come prescritto in tali atti.
3.L'ENISA fornisce e attua le specifiche relative alle misure tecniche, operative e organizzative riguardanti l'istituzione, la manutenzione e il funzionamento sicuro del punto di accesso unico. L'ENISA elabora le specifiche in cooperazione con la Commissione, la rete di CSIRT e le autorità competenti a norma degli atti giuridici dell'Unione di cui al paragrafo 1. Le specifiche garantiscono che:
a)sia garantita la capacità necessaria all'interoperabilità per quanto riguarda gli altri obblighi di segnalazione pertinenti di cui al paragrafo 1;
b)siano predisposte modalità tecniche che consentano ai soggetti e alle autorità pertinenti a norma degli atti giuridici dell'Unione di cui al paragrafo 1 di accedere alle informazioni dal punto di accesso unico, nonché di immetterle, recuperarle, trasmetterle o trattarle, e siano forniti protocolli e strumenti tecnici che permettano ai soggetti e alle autorità di trattare ulteriormente le informazioni ricevute nell'ambito dei loro sistemi;
c)si tenga debitamente conto delle specificità degli obblighi di segnalazione degli incidenti stabiliti dagli atti giuridici dell'Unione di cui al paragrafo 1;
d)se del caso, il punto di accesso unico sia interoperabile e compatibile con i portafogli europei delle imprese di cui alla [proposta di regolamento: inserire il titolo della proposta] e tali portafogli possano essere utilizzati almeno per identificare e autenticare i soggetti che utilizzano il punto di accesso unico;
e)i soggetti che utilizzano il punto di accesso unico possano recuperare e integrare le informazioni che hanno precedentemente trasmesso tramite tale punto di accesso unico;
f)una notifica unica delle informazioni trasmesse da un soggetto attraverso il punto di accesso unico possa essere utilizzata per adempiere gli obblighi di segnalazione stabiliti da qualsiasi altro atto giuridico dell'Unione che preveda la segnalazione degli incidenti al punto di accesso unico.
4.A meno che non sia previsto dagli atti giuridici dell'Unione di cui al paragrafo 1 del presente articolo, l'ENISA non ha accesso alle notifiche trasmesse attraverso il punto di accesso unico.
5.Entro [18] mesi dall'entrata in vigore del presente regolamento, l'ENISA sperimenta il funzionamento del punto di accesso unico per ciascun atto giuridico dell'Unione che sia stato aggiunto, anche effettuando test che tengano conto delle specificità e degli obblighi di notifica stabiliti da ciascun atto giuridico dell'Unione, previa consultazione della Commissione e delle autorità competenti pertinenti a norma dei rispettivi atti giuridici dell'Unione. L'ENISA consente la notifica degli incidenti a norma di ciascun atto giuridico dell'Unione di cui al paragrafo 1 solo dopo aver sperimentato il funzionamento del punto di accesso unico e dopo che la Commissione ha pubblicato un avviso a norma del paragrafo 6.
6.La Commissione, in cooperazione con l'ENISA, valuta il corretto funzionamento, l'affidabilità, l'integrità e la riservatezza del punto di accesso unico. Se dopo aver consultato la rete di CSIRT e le autorità competenti a norma degli atti giuridici dell'Unione di cui al paragrafo 1 constata che è possibile garantire il corretto funzionamento, l'affidabilità, l'integrità e la riservatezza del punto di accesso unico, la Commissione pubblica un avviso in tal senso nella Gazzetta ufficiale dell'Unione europea.
7.Se nella sua valutazione la Commissione constata che non è possibile garantire il corretto funzionamento, l'affidabilità, l'integrità o la riservatezza del punto di accesso unico, l'ENISA adotta, in cooperazione con la Commissione e senza indebito ritardo, tutte le misure correttive necessarie per garantire tempestivamente il corretto funzionamento, l'affidabilità, l'integrità o la riservatezza del punto di accesso unico e informa la Commissione dei risultati conseguiti. Successivamente, la Commissione riesamina il corretto funzionamento, l'affidabilità, l'integrità o la riservatezza del punto di accesso unico e pubblica un avviso conformemente al paragrafo 6.";
2.l'articolo 23 è così modificato:
a)al paragrafo 1, la prima frase è sostituita dalla seguente:
"Ciascuno Stato membro provvede affinché i soggetti essenziali e importanti notifichino senza indebito ritardo al proprio CSIRT o, se opportuno, alla propria autorità competente, conformemente al paragrafo 4 del presente articolo, eventuali incidenti che hanno un impatto significativo sulla fornitura dei loro servizi quali indicati al paragrafo 3 del presente articolo (incidente significativo) attraverso il punto di accesso unico istituito a norma dell'articolo 23 bis.";
b)è aggiunto il seguente paragrafo 12:
"Quando il fabbricante notifica un incidente grave a norma dell'articolo 14, paragrafo 3, del regolamento (UE) 2024/2847 e la segnalazione dell'incidente a norma di tale articolo contiene le informazioni pertinenti di cui al paragrafo 4 del presente articolo, la segnalazione del fabbricante a norma dell'articolo 14, paragrafo 3, del suddetto regolamento costituisce una segnalazione di informazioni a norma del paragrafo 4 del presente articolo.";
3.all'articolo 30, il paragrafo 1 è sostituito dal seguente:
"1. Gli Stati membri provvedono affinché, in aggiunta all'obbligo di notifica di cui all'articolo 23, possano essere trasmesse, su base volontaria, notifiche ai CSIRT o, se opportuno, alle autorità competenti, tramite il punto di accesso unico istituito a norma dell'articolo 23 bis, da parte dei:
a)soggetti essenziali e importanti, per quanto riguarda gli incidenti, le minacce informatiche e i quasi incidenti;
b)soggetti diversi da quelli di cui alla lettera a), indipendentemente dal fatto che ricadano o meno nell'ambito di applicazione della presente direttiva, per quanto riguarda gli incidenti significativi, le minacce informatiche e i quasi incidenti.";
Articolo 7
Modifica del regolamento (UE) n. 910/2014
Il regolamento (UE) n. 910/2014 è così modificato:
1.all'articolo 19 bis è aggiunto il seguente paragrafo 1 bis:
"1 bis. Le notifiche a norma del paragrafo 1, lettera b), del presente articolo all'organismo di vigilanza e, se del caso, ad altre autorità competenti pertinenti sono inviate attraverso il punto di accesso unico a norma dell'articolo 23 bis della direttiva (UE) 2022/2555.";
2.all'articolo 24 è inserito il seguente paragrafo 2 bis:
"2 bis. Le notifiche a norma del paragrafo 2, lettera f ter), del presente articolo all'organismo di vigilanza e, se del caso, ad altri organismi competenti interessati sono inviate attraverso il punto di accesso unico a norma dell'articolo 23 bis della direttiva (UE) 2022/2555.";
3.all'articolo 45 bis è aggiunto il paragrafo 3 bis seguente:
"3 bis. Le notifiche di cui al paragrafo 3 alla Commissione e all'organismo di vigilanza competente sono inviate attraverso il punto di accesso unico a norma dell'articolo 23 bis della direttiva (UE) 2022/2555.".
Articolo 8
Modifiche del regolamento (UE) 2022/2554
L'articolo 19 del regolamento (UE) 2022/2554 è così modificato:
1.al paragrafo 1, il primo comma è sostituito dal seguente:
"Le entità finanziarie segnalano gli incidenti gravi connessi alle TIC all'autorità competente interessata di cui all'articolo 46 tramite il punto di accesso unico istituito a norma dell'articolo 23 bis della direttiva (UE) 2022/2555 conformemente al paragrafo 4 del presente articolo.";
2.al paragrafo 2, il primo comma è sostituito dal seguente:
"Le entità finanziarie possono, su base volontaria, notificare tramite il punto di accesso unico istituito a norma dell'articolo 23 bis della direttiva (UE) 2022/2555 le minacce informatiche significative all'autorità competente interessata qualora ritengano che la minaccia sia rilevante per il sistema finanziario, gli utenti dei servizi o i clienti. L'autorità competente interessata può fornire tali informazioni alle altre autorità pertinenti di cui al paragrafo 6.".
Articolo 9
Modifiche della direttiva (UE) 2022/2557
L'articolo 15 della direttiva (UE) 2022/2557 è così modificato:
1.al paragrafo 1, la prima frase è sostituita dalla seguente:
"Gli Stati membri provvedono affinché i soggetti critici notifichino senza indebito ritardo all'autorità competente, tramite il punto di accesso unico istituito a norma dell'articolo 23 bis della direttiva (UE) 2022/2555, gli incidenti che perturbano o possono perturbare in modo significativo la fornitura di servizi essenziali.";
2.al paragrafo 2 è aggiunto il seguente comma:
"La Commissione può adottare atti di esecuzione che specifichino ulteriormente il tipo e il formato delle informazioni notificate a norma dell'articolo 15, paragrafo 1. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 24, paragrafo 2.".
Articolo 10
Abrogazioni e clausole transitorie
1.Il regolamento (UE) 2019/1150 è abrogato a decorrere dal [data di entrata in applicazione del presente regolamento].
2.In deroga al paragrafo 1, le seguenti disposizioni continuano ad applicarsi fino al 31 dicembre 2032:
(a)articolo 2, punto 1);
(b)articolo 2, punto 2);
(c)articolo 2, punto 5);
(d)articolo 4;
(e)articolo 11;
(f)articolo 15.
3.I seguenti atti sono abrogati a decorrere dal [data, allineata all'entrata in applicazione delle modifiche]:
a)regolamento (UE) 2022/868;
b)regolamento (UE) 2018/1807;
c)direttiva (UE) 2019/1024.
4.I riferimenti ai regolamenti (UE) 2022/868 e (UE) 2018/1807 e alla direttiva (UE) 2019/1024 si leggono secondo la tavola di concordanza di cui all'allegato I del presente regolamento.
Articolo 11
Disposizioni finali
Il presente regolamento entra in vigore il terzo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell'Unione europea.
In deroga al paragrafo 3, l'articolo 5, paragrafo 2, entra in applicazione sei mesi dopo la pubblicazione nella Gazzetta ufficiale dell'Unione europea.
L'articolo 3, paragrafo 8, lettere da a) a c), l'articolo 6, paragrafi 2 e 3, e gli articoli da 7 a 9 entrano in applicazione 18 mesi dopo l'entrata in vigore del presente regolamento. In deroga al primo comma, se nella sua valutazione a norma dell'articolo 23 bis, paragrafo 7, della direttiva (UE) 2022/2555 la Commissione ritiene che non siano garantiti il corretto funzionamento, l'affidabilità, l'integrità o la riservatezza del punto di accesso unico, gli obblighi di segnalazione tramite il punto di accesso unico di cui all'articolo 23, paragrafo 4, della direttiva (UE) 2022/2555, all'articolo 19 bis, paragrafo 1 bis, all'articolo 24, paragrafo 2 bis, e all'articolo 45 bis, paragrafo 3 bis, del regolamento (UE) n. 910/2014, all'articolo 33, paragrafo 1, del regolamento (UE) 2016/679, all'articolo 19, paragrafi 1 e 2, del regolamento (UE) 2022/2554 e all'articolo 15, paragrafo 1, della direttiva (UE) 2022/2557 entrano in applicazione 24 mesi dopo l'entrata in vigore del presente regolamento.
Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.
Fatto a Bruxelles, il
Per il Parlamento europeo
Per il Consiglio
La presidente
Il presidente
SCHEDA FINANZIARIA E DIGITALE LEGISLATIVA
1. CONTESTO DELLA PROPOSTA/INIZIATIVA
3
1.1. Titolo della proposta/iniziativa
3
1.2 Settore/settori interessati
3
1.3 Obiettivi
3
1.3.1. Obiettivi generali
3
1.3.2. Obiettivi specifici
3
1.3.3. Risultati e incidenza previsti
3
1.3.4. Indicatori di prestazione
3
1.4 La proposta/iniziativa riguarda:
4
1.5. Motivazione della proposta/iniziativa
4
1.5.1.
Necessità nel breve e lungo termine, con calendario dettagliato delle fasi di attuazione dell'iniziativa
4
1.5.2.
Valore aggiunto dell'intervento dell'UE (che può derivare da diversi fattori, ad es. un miglior coordinamento, la certezza del diritto o un'efficacia e una complementarità maggiori). Ai fini della presente sezione, per "valore aggiunto dell'intervento dell'UE" si intende il valore derivante dall'azione dell'Unione europea che va ad aggiungersi al valore che avrebbero altrimenti generato gli Stati membri se avessero agito da soli.
4
1.5.3 Insegnamenti tratti da esperienze analoghe
4
1.5.4.
Compatibilità con il quadro finanziario pluriennale ed eventuali sinergie con altri strumenti rilevanti
5
1.5.5.
Valutazione delle varie opzioni di finanziamento disponibili, comprese le possibilità di riassegnazione
5
1.6 Durata della proposta/iniziativa e della relativa incidenza finanziaria
6
1.7. Metodo o metodi di esecuzione del bilancio previsti
6
2. MISURE DI GESTIONE
8
2.1. Disposizioni in materia di monitoraggio e di relazioni
8
2.2. Sistema o sistemi di gestione e di controllo
8
2.2.1.
Giustificazione del metodo o dei metodi di esecuzione del bilancio, del meccanismo o dei meccanismi di attuazione del finanziamento, delle modalità di pagamento e della strategia di controllo proposti
8
2.2.2.
Informazioni concernenti i rischi individuati e il sistema o i sistemi di controllo interno per ridurli
8
2.2.3.
Stima e giustificazione del rapporto costo/efficacia dei controlli (rapporto tra costi del controllo e valore dei fondi gestiti) e valutazione dei livelli di rischio di errore previsti (al pagamento e alla chiusura)
8
2.3 Misure di prevenzione delle frodi e delle irregolarità
9
3. INCIDENZA FINANZIARIA PREVISTA DELLA PROPOSTA/INIZIATIVA
10
3.1.
Rubrica/rubriche del quadro finanziario pluriennale e linea/linee di bilancio di spesa interessate
10
3.2. Incidenza finanziaria prevista della proposta sugli stanziamenti
12
3.2.1. Sintesi dell'incidenza prevista sugli stanziamenti operativi
12
3.2.1.1. Stanziamenti dal bilancio votato
12
3.2.1.2. Stanziamenti da entrate con destinazione specifica esterne
17
3.2.2. Risultati previsti finanziati con gli stanziamenti operativi
22
3.2.3. Sintesi dell'incidenza prevista sugli stanziamenti amministrativi
24
3.2.3.1. Stanziamenti dal bilancio votato
24
3.2.3.2. Stanziamenti da entrate con destinazione specifica esterne
24
3.2.3.3. Totale degli stanziamenti
24
3.2.4. Fabbisogno previsto di risorse umane
25
3.2.4.1. Finanziamento a titolo del bilancio votato
25
3.2.4.2. Finanziamento a titolo di entrate con destinazione specifica esterne
26
3.2.4.3. Fabbisogno totale di risorse umane
26
3.2.5. Panoramica dell'incidenza prevista sugli investimenti connessi a tecnologie digitali
28
3.2.6. Compatibilità con il quadro finanziario pluriennale attuale
28
3.2.7. Partecipazione di terzi al finanziamento
28
3.3. Incidenza prevista sulle entrate
29
4. Dimensioni digitali
29
4.1. Prescrizioni di rilevanza digitale
30
4.2. Dati
30
4.3. Soluzioni digitali
31
4.4. Valutazione dell'interoperabilità
31
4.5. Misure a sostegno dell'attuazione digitale
32
1.CONTESTO DELLA PROPOSTA/INIZIATIVA
1.1.Titolo della proposta/iniziativa
Proposta di regolamento del Parlamento europeo e del Consiglio relativo alla semplificazione dell'acquis digitale, che modifica il regolamento (UE) 2023/2854, il regolamento (UE) 2016/679, il regolamento (UE) 2024/1689, la direttiva 2002/58/CE e la direttiva (UE) 2022/2555 e che abroga il regolamento (UE) 2022/868, il regolamento (UE) 2018/1807, il regolamento (UE) 2019/1150 e la direttiva (UE) 2019/1024 (omnibus digitale per l'acquis digitale)
1.2.Settore/settori interessati
Reti di comunicazione, contenuti e tecnologia.
Mercato interno, industria, imprenditoria e PMI
1.3.Obiettivi
1.3.1.
Obiettivi generali
Semplificazione dell'applicazione dell'acquis digitale e risparmi per le imprese in termini di costi
1.3.2.
Obiettivi specifici
Obiettivo specifico 1
Migliorare la governance e l'efficacia dell'applicazione dell'acquis digitale riducendo la complessità delle norme nonché i costi amministrativi per le imprese e le amministrazioni e abrogando alcuni atti
Obiettivo specifico 2
Garantire la predisposizione di un punto di accesso unico per la segnalazione degli incidenti in diversi quadri giuridici
1.3.3.
Risultati e incidenza previsti
Precisare gli effetti che la proposta/iniziativa dovrebbe avere sui beneficiari/gruppi interessati.
Riduzione dei costi per le imprese grazie alla minore complessità della legislazione e alla razionalizzazione dei processi di segnalazione
1.3.4.
Indicatori di prestazione
Precisare gli indicatori con cui monitorare progressi e risultati
Indicatore 1
Riduzione dei costi calcolati per le imprese
Indicatore 2
Risparmi in termini di costi per la segnalazione di incidenti da parte delle imprese
Indicatore 3
1.4.La proposta/iniziativa riguarda:
una nuova azione;
una nuova azione a seguito di un progetto pilota/un'azione preparatoria;
la proroga di un'azione esistente;
la fusione o il riorientamento di una o più azioni verso un'altra/una nuova azione.
1.5.Motivazione della proposta/iniziativa
1.5.1.
Necessità nel breve e lungo termine, con calendario dettagliato delle fasi di attuazione dell'iniziativa
L'entrata in vigore è prevista entro tre giorni dalla pubblicazione nella Gazzetta ufficiale. L'entrata in applicazione dovrebbe essere immediata, ad eccezione delle norme che richiedono un periodo transitorio. Per quanto riguarda il capo III sulle norme relative alla segnalazione degli incidenti e alle piattaforme è necessario un periodo di tempo sufficiente per l'attuazione, adeguato alle esigenze delle imprese, degli Stati membri e degli organismi dell'UE.
1.5.2.
Valore aggiunto dell'intervento dell'UE (che può derivare da diversi fattori, ad es. un miglior coordinamento, la certezza del diritto o un'efficacia e una complementarità maggiori). Ai fini della presente sezione, per "valore aggiunto dell'intervento dell'UE" si intende il valore derivante dall'azione dell'Unione europea che va ad aggiungersi al valore che avrebbero altrimenti generato gli Stati membri se avessero agito da soli.
I motivi dell'azione a livello dell'UE derivano dal fatto che le modifiche riguardano la legislazione vigente dell'UE e permettono di ridurre la complessità del diritto dell'UE (ex ante).
Il valore aggiunto dell'UE previsto (ex post) consiste nella razionalizzazione del diritto dell'UE, nonché nella riduzione degli oneri amministrativi e dei costi per le imprese.
Per quanto riguarda l'istituzione del punto di accesso unico per la segnalazione degli incidenti, il particolare valore aggiunto deriva dalla predisposizione di una soluzione a livello dell'Unione che sia in grado di soddisfare le prescrizioni nazionali. I costi per le imprese sono ottimizzati grazie alla predisposizione di un punto di accesso unico, indipendentemente dal luogo in cui è situato il soggetto segnalante nell'Unione e dalle autorità incaricate di ricevere le segnalazioni.
1.5.3.
Insegnamenti tratti da esperienze analoghe
Le modifiche dei rispettivi regolamenti si basano sull'esperienza pratica nell'attuazione delle norme, come specificato nel documento di lavoro dei servizi della Commissione che accompagna il presente regolamento, nonché su un'ampia consultazione dei portatori di interessi, che si concentra principalmente sull'applicazione quotidiana delle norme.
1.5.4.
Compatibilità con il quadro finanziario pluriennale ed eventuali sinergie con altri strumenti rilevanti
Le modifiche sono compatibili con il quadro finanziario pluriennale in quanto non sono previste spese supplementari.
1.5.5.
Valutazione delle varie opzioni di finanziamento disponibili, comprese le possibilità di riassegnazione
1.6.Durata della proposta/iniziativa e della relativa incidenza finanziaria
5. Durata limitata
in vigore a decorrere dal [GG/MM]AAAA fino al [GG/MM]AAAA;
incidenza finanziaria dal AAAA al AAAA per gli stanziamenti di impegno e dal AAAA al AAAA per gli stanziamenti di pagamento.
6. Durata illimitata
Attuazione con un periodo di avviamento dal AAAA al AAAA
e successivo funzionamento a pieno ritmo.
1.7.Metodo o metodi di esecuzione del bilancio previsti
7. Gestione diretta a opera della Commissione:
a opera dei suoi servizi, compreso il suo personale presso le delegazioni dell'Unione;
a opera delle agenzie esecutive.
8. Gestione concorrente con gli Stati membri.
9. Gestione indiretta affidando compiti di esecuzione del bilancio:
a paesi terzi o organismi da questi designati;
a organizzazioni internazionali e loro agenzie (specificare);
alla Banca europea per gli investimenti e al Fondo europeo per gli investimenti;
agli organismi di cui agli articoli 70 e 71 del regolamento finanziario;
a organismi di diritto pubblico;
a organismi di diritto privato investiti di attribuzioni di servizio pubblico, nella misura in cui sono dotati di sufficienti garanzie finanziarie;
a organismi di diritto privato di uno Stato membro preposti all'attuazione di un partenariato pubblico-privato e che sono dotati di sufficienti garanzie finanziarie;
a organismi o persone incaricati di attuare azioni specifiche della politica estera e di sicurezza comune a norma del titolo V del trattato sull'Unione europea e indicati nel pertinente atto di base;
a organismi di diritto privato di uno Stato membro o di diritto dell'Unione stabiliti in uno Stato membro e idonei ad essere incaricati, conformemente alla normativa settoriale, dell'esecuzione di fondi dell'Unione o delle garanzie di bilancio, nella misura in cui tali organismi sono controllati da organismi di diritto pubblico o da organismi di diritto privato investiti di attribuzioni di servizio pubblico e sono dotati di sufficienti garanzie finanziarie, sotto forma di responsabilità in solido da parte degli organismi di controllo o di garanzie finanziarie equivalenti, che possono essere limitate, per ciascuna azione, all'importo massimo del sostegno dell'Unione.
I
2.MISURE DI GESTIONE
2.1.Disposizioni in materia di monitoraggio e di relazioni
10.Le modifiche saranno monitorate nell'ambito della normativa modificata
2.2.Sistema o sistemi di gestione e di controllo
2.2.1.Giustificazione del metodo o dei metodi di esecuzione del bilancio, del meccanismo o dei meccanismi di attuazione del finanziamento, delle modalità di pagamento e della strategia di controllo proposti
11.I sistemi di gestione e di controllo che si applicano alla legislazione vigente garantiscono un controllo efficace anche per le modifiche
2.2.2.Informazioni concernenti i rischi individuati e il sistema o i sistemi di controllo interno per ridurli
12.Non sono stati individuati rischi aggiuntivi
2.2.3.Stima e giustificazione del rapporto costo/efficacia dei controlli (rapporto tra costi del controllo e valore dei fondi gestiti) e valutazione dei livelli di rischio di errore previsti (al pagamento e alla chiusura)
13.Il costo del controllo non differirà dal costo precedente
2.3.Misure di prevenzione delle frodi e delle irregolarità
14.Le stesse misure di prevenzione continuano ad applicarsi alle modifiche
3.INCIDENZA FINANZIARIA PREVISTA DELLA PROPOSTA/INIZIATIVA
3.1.Rubrica/rubriche del quadro finanziario pluriennale e linea/linee di bilancio di spesa interessate
Linee di bilancio esistenti
15.Secondo l'ordine delle rubriche del quadro finanziario pluriennale e delle linee di bilancio.
|
Rubrica del quadro finanziario pluriennale
|
Linea di bilancio
|
Natura della spesa
|
Partecipazione
|
|
|
Numero
|
Diss./Non diss.
|
di paesi EFTA
|
di paesi candidati e potenziali candidati
|
di altri paesi terzi
|
altre entrate con destinazione specifica
|
|
|
20 02 06 Spese amministrative
|
Non diss.
|
NO
|
NO
|
NO
|
NO
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Nuove linee di bilancio di cui è chiesta la creazione
16.Secondo l'ordine delle rubriche del quadro finanziario pluriennale e delle linee di bilancio.
|
Rubrica del quadro finanziario pluriennale
|
Linea di bilancio
|
Natura della spesa
|
Partecipazione
|
|
|
Numero
|
Diss./Non diss.
|
di paesi EFTA
|
di paesi candidati e potenziali candidati
|
di altri paesi terzi
|
altre entrate con destinazione specifica
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
3.2.Incidenza finanziaria prevista della proposta sugli stanziamenti
3.2.1.Sintesi dell'incidenza prevista sugli stanziamenti operativi
La proposta/iniziativa non comporta l'utilizzo di stanziamenti operativi.
La proposta/iniziativa comporta l'utilizzo di stanziamenti operativi, come spiegato di seguito.
3.2.1.1.Stanziamenti dal bilancio votato
Mio EUR (al terzo decimale)
|
Rubrica del quadro finanziario pluriennale
|
Numero
|
|
|
DG: <…….>
|
Anno
|
Anno
|
Anno
|
Anno
|
TOTALE QFP 2021-2027
|
|
|
2024
|
2025
|
2026
|
2027
|
|
|
Stanziamenti operativi
|
|
Linea di bilancio
|
Impegni
|
(1a)
|
|
|
|
|
0,000
|
|
|
Pagamenti
|
(2a)
|
|
|
|
|
0,000
|
|
Linea di bilancio
|
Impegni
|
(1b)
|
|
|
|
|
0,000
|
|
|
Pagamenti
|
(2b)
|
|
|
|
|
0,000
|
|
Stanziamenti amministrativi finanziati dalla dotazione di programmi specifici
|
|
Linea di bilancio
|
|
(3)
|
|
|
|
|
0,000
|
|
TOTALE stanziamenti
per la DG <…….>
|
Impegni
|
=1a+1b+3
|
0,000
|
0,000
|
0,000
|
0,000
|
0,000
|
|
|
Pagamenti
|
=2a+2b+3
|
0,000
|
0,000
|
0,000
|
0,000
|
0,000
|
================================================================================================
This section should be filled in using the 'budget data of an administrative nature' to be firstly inserted in the Annex to the Legislative Financial and Digital Statement (Annex 5 to the Commission Decision on the internal rules for the implementation of the Commission section of the general budget of the European Union), which is uploaded to DECIDE for interservice consultation purposes.
|
DG: <…….>
|
Anno
|
Anno
|
Anno
|
Anno
|
TOTALE QFP 2021-2027
|
|
|
2024
|
2025
|
2026
|
2027
|
|
|
Risorse umane
|
0,000
|
0,000
|
0,000
|
0,000
|
0,000
|
|
Altre spese amministrative
|
0,000
|
0,000
|
0,000
|
0,000
|
0,000
|
|
TOTALE DG <…….>
|
Stanziamenti
|
0,000
|
0,000
|
0,000
|
0,000
|
0,000
|
|
|
|
|
|
|
|
|
|
|
|
DG: <…….>
|
Anno
|
Anno
|
Anno
|
Anno
|
TOTALE QFP 2021-2027
|
|
|
2024
|
2025
|
2026
|
2027
|
|
|
Risorse umane
|
0,000
|
0,000
|
0,000
|
0,000
|
0,000
|
|
Altre spese amministrative
|
0,000
|
0,000
|
0,000
|
0,000
|
0,000
|
|
TOTALE DG <…….>
|
Stanziamenti
|
0,000
|
0,000
|
0,000
|
0,000
|
0,000
|
|
|
|
|
|
|
|
|
|
|
|
TOTALE stanziamenti per la RUBRICA 7 del quadro finanziario pluriennale
|
(Totale impegni = Totale pagamenti)
|
0,000
|
0,000
|
0,000
|
0,000
|
0,000
|
Mio EUR (al terzo decimale)
|
|
Anno
|
Anno
|
Anno
|
Anno
|
TOTALE QFP 2021-2027
|
|
|
2024
|
2025
|
2026
|
2027
|
|
|
TOTALE stanziamenti per le RUBRICHE da 1 a 7
|
Impegni
|
0,000
|
0,000
|
0,000
|
0,000
|
0,000
|
|
del quadro finanziario pluriennale
|
Pagamenti
|
0,000
|
0,000
|
0,000
|
0,000
|
0,000
|
3.2.1.2.Stanziamenti da entrate con destinazione specifica esterne
Mio EUR (al terzo decimale)
|
Rubrica del quadro finanziario pluriennale
|
Numero
|
|
|
DG: <…….>
|
Anno
|
Anno
|
Anno
|
Anno
|
TOTALE QFP 2021-2027
|
|
|
2024
|
2025
|
2026
|
2027
|
|
|
Stanziamenti operativi
|
|
Linea di bilancio
|
Impegni
|
(1a)
|
|
|
|
|
0,000
|
|
|
Pagamenti
|
(2a)
|
|
|
|
|
0,000
|
|
Linea di bilancio
|
Impegni
|
(1b)
|
|
|
|
|
0,000
|
|
|
Pagamenti
|
(2b)
|
|
|
|
|
0,000
|
|
Stanziamenti amministrativi finanziati dalla dotazione di programmi specifici
|
|
Linea di bilancio
|
|
(3)
|
|
|
|
|
0,000
|
|
TOTALE stanziamenti
per la DG <…….>
|
Impegni
|
=1a+1b+3
|
0,000
|
0,000
|
0,000
|
0,000
|
0,000
|
|
|
Pagamenti
|
=2a+2b+3
|
0,000
|
0,000
|
0,000
|
0,000
|
0,000
|
Rubrica del quadro finanziario pluriennale
|
7
|
"Spese amministrative"
|
Mio EUR (al terzo decimale)
|
DG: <…….>
|
Anno
|
Anno
|
Anno
|
Anno
|
TOTALE QFP 2021-2027
|
|
|
2024
|
2025
|
2026
|
2027
|
|
|
Risorse umane
|
0,000
|
0,000
|
0,000
|
0,000
|
0,000
|
|
Altre spese amministrative
|
0,000
|
0,000
|
0,000
|
0,000
|
0,000
|
|
TOTALE DG <…….>
|
Stanziamenti
|
0,000
|
0,000
|
0,000
|
0,000
|
0,000
|
|
|
|
|
|
|
|
|
|
|
|
DG: <…….>
|
Anno
|
Anno
|
Anno
|
Anno
|
TOTALE QFP 2021-2027
|
|
|
2024
|
2025
|
2026
|
2027
|
|
|
Risorse umane
|
0,000
|
0,000
|
0,000
|
0,000
|
0,000
|
|
Altre spese amministrative
|
0,000
|
0,000
|
0,000
|
0,000
|
0,000
|
|
TOTALE DG <…….>
|
Stanziamenti
|
0,000
|
0,000
|
0,000
|
0,000
|
0,000
|
|
|
|
|
|
|
|
|
|
|
|
TOTALE stanziamenti per la RUBRICA 7 del quadro finanziario pluriennale
|
(Totale impegni = Totale pagamenti)
|
0,000
|
0,000
|
0,000
|
0,000
|
0,000
|
Mio EUR (al terzo decimale)
|
|
Anno
|
Anno
|
Anno
|
Anno
|
TOTALE QFP 2021-2027
|
|
|
2024
|
2025
|
2026
|
2027
|
|
|
TOTALE stanziamenti per le RUBRICHE da 1 a 7
|
Impegni
|
0,000
|
0,000
|
0,000
|
0,000
|
0,000
|
|
del quadro finanziario pluriennale
|
Pagamenti
|
0,000
|
0,000
|
0,000
|
0,000
|
0,000
|
3.2.2.Risultati previsti finanziati con gli stanziamenti operativi (da non compilarsi per le agenzie decentrate)
Stanziamenti di impegno in Mio EUR (al terzo decimale)
|
Specificare gli obiettivi e i risultati
|
|
|
Anno
2024
|
Anno
2025
|
Anno
2026
|
Anno
2027
|
Inserire gli anni necessari per evidenziare la durata dell'incidenza (cfr. sezione 1.6)
|
TOTALE
|
|
|
RISULTATI
|
|
|
Tipo
|
Costo medio
|
N.
|
Costo
|
N.
|
Costo
|
N.
|
Costo
|
N.
|
Costo
|
N.
|
Costo
|
N.
|
Costo
|
N.
|
Costo
|
N. totale
|
Costo totale
|
|
OBIETTIVO SPECIFICO 1 …
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
- Risultato
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
- Risultato
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
- Risultato
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Totale parziale obiettivo specifico 1
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
OBIETTIVO SPECIFICO 2 …
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
- Risultato
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Totale parziale obiettivo specifico 2
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
TOTALE
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
3.2.3.Sintesi dell'incidenza prevista sugli stanziamenti amministrativi
La proposta/iniziativa non comporta l'utilizzo di stanziamenti amministrativi.
La proposta/iniziativa comporta l'utilizzo di stanziamenti amministrativi, come spiegato di seguito.
3.2.3.1.Stanziamenti dal bilancio votato
|
STANZIAMENTI VOTATI
|
Anno
|
Anno
|
Anno
|
Anno
|
TOTALE 2021-2027
|
|
|
2024
|
2025
|
2026
|
2027
|
|
|
RUBRICA 7
|
|
Risorse umane
|
0,000
|
0,000
|
0,000
|
0,000
|
0,000
|
|
Altre spese amministrative
|
0,000
|
0,000
|
0,000
|
0,000
|
0,000
|
|
Totale parziale RUBRICA 7
|
0,000
|
0,000
|
0,000
|
0,000
|
0,000
|
|
Esclusa la RUBRICA 7
|
|
Risorse umane
|
0,000
|
0,000
|
0,000
|
0,000
|
0,000
|
|
Altre spese amministrative
|
0,000
|
0,000
|
0,000
|
0,000
|
0,000
|
|
Totale parziale esclusa la RUBRICA 7
|
0,000
|
0,000
|
0,000
|
0,000
|
0,000
|
|
|
|
TOTALE
|
0,000
|
0,000
|
0,000
|
0,000
|
0,000
|
Il fabbisogno di stanziamenti relativi alle risorse umane e alle altre spese amministrative è coperto dagli stanziamenti della DG già assegnati alla gestione dell'azione e/o riassegnati all'interno della stessa DG, integrati dall'eventuale dotazione supplementare concessa alla DG responsabile nell'ambito della procedura annuale di assegnazione, tenendo conto dei vincoli di bilancio.
3.2.4.Fabbisogno previsto di risorse umane
La proposta/iniziativa non comporta l'utilizzo di risorse umane.
La proposta/iniziativa comporta l'utilizzo di risorse umane, come spiegato di seguito.
3.2.4.1.Finanziamento a titolo del bilancio votato
Stima da esprimere in equivalenti a tempo pieno (ETP)
17.
|
STANZIAMENTI VOTATI
|
Anno
|
Anno
|
Anno
|
Anno
|
|
|
2024
|
2025
|
2026
|
2027
|
|
Posti della tabella dell'organico (funzionari e agenti temporanei)
|
|
20 01 02 01 (sede e uffici di rappresentanza della Commissione)
|
0
|
0
|
0
|
0
|
|
20 01 02 03 (delegazioni UE)
|
0
|
0
|
0
|
0
|
|
01 01 01 01 (ricerca indiretta)
|
0
|
0
|
0
|
0
|
|
01 01 01 11 (ricerca diretta)
|
0
|
0
|
0
|
0
|
|
Altre linee di bilancio (specificare)
|
0
|
0
|
0
|
0
|
|
• Personale esterno (in ETP)
|
|
20 02 01 (AC, END della dotazione globale)
|
0
|
0
|
0
|
0
|
|
20 02 03 (AC, AL, END e JPD nelle delegazioni UE)
|
0
|
0
|
0
|
0
|
|
Linea di sostegno amministrativo
[XX.01.YY.YY]
|
- in sede
|
0
|
0
|
0
|
0
|
|
|
- nelle delegazioni UE
|
0
|
0
|
0
|
0
|
|
01 01 01 02 (AC, END - ricerca indiretta)
|
0
|
0
|
0
|
0
|
|
01 01 01 12 (AC, END - ricerca diretta)
|
0
|
0
|
0
|
0
|
|
Altre linee di bilancio (specificare) - rubrica 7
|
0
|
0
|
0
|
0
|
|
Altre linee di bilancio (specificare) - esclusa la rubrica 7
|
0
|
0
|
0
|
0
|
|
TOTALE
|
0
|
0
|
0
|
0
|
3.2.5.Panoramica dell'incidenza prevista sugli investimenti connessi a tecnologie digitali
18.Compulsory: the best estimate of the digital technology-related investments entailed by the proposal/initiative should be included in the table below.
19.Exceptionally, when required for the implementation of the proposal/initiative, the appropriations under Heading 7 should be presented in the designated line.
20.The appropriations under Headings 1-6 should be reflected as “Policy IT expenditure on operational programmes”. This expenditure refers to the operational budget to be used to re-use/ buy/ develop IT platforms/ tools directly linked to the implementation of the initiative and their associated investments (e.g. licences, studies, data storage etc). The information provided in this table should be consistent with details presented under Section 4 “Digital dimensions”.
|
TOTALE stanziamenti per fini digitali e informatici
|
Anno
|
Anno
|
Anno
|
Anno
|
TOTALE QFP 2021-2027
|
|
|
2024
|
2025
|
2026
|
2027
|
|
|
RUBRICA 7
|
|
Spese informatiche (istituzionali)
|
0,000
|
0,000
|
0,000
|
0,000
|
0,000
|
|
Totale parziale RUBRICA 7
|
0,000
|
0,000
|
0,000
|
0,000
|
0,000
|
|
Esclusa la RUBRICA 7
|
|
Spese informatiche per la politica per i programmi operativi
|
0,000
|
0,000
|
0,000
|
0,000
|
0,000
|
|
Totale parziale esclusa la RUBRICA 7
|
0,000
|
0,000
|
0,000
|
0,000
|
0,000
|
|
|
|
TOTALE
|
0,000
|
0,000
|
0,000
|
0,000
|
0,000
|
3.2.6.Compatibilità con il quadro finanziario pluriennale attuale
21.La proposta/iniziativa:
può essere interamente finanziata mediante riassegnazione all'interno della pertinente rubrica del quadro finanziario pluriennale (QFP).
comporta l'uso del margine non assegnato della pertinente rubrica del QFP e/o l'uso degli strumenti speciali definiti nel regolamento QFP.
comporta una revisione del QFP.
3.2.7.Partecipazione di terzi al finanziamento
22.La proposta/iniziativa:
non prevede cofinanziamenti da parte di terzi.
prevede il cofinanziamento da parte di terzi indicato di seguito:
Stanziamenti in Mio EUR (al terzo decimale)
|
|
Anno
2024
|
Anno
2025
|
Anno
2026
|
Anno
2027
|
Totale
|
|
Specificare l'organismo di cofinanziamento
|
|
|
|
|
|
|
TOTALE stanziamenti cofinanziati
|
|
|
|
|
|
3.3.
Incidenza prevista sulle entrate
La proposta/iniziativa non ha incidenza finanziaria sulle entrate.
–
La proposta/iniziativa ha la seguente incidenza finanziaria:
–
sulle risorse proprie.
–
su altre entrate.
–
indicare se le entrate sono destinate a linee di spesa specifiche.
Mio EUR (al terzo decimale)
|
Linea di bilancio delle entrate:
|
Stanziamenti disponibili per l'esercizio in corso
|
Incidenza della proposta/iniziativa
|
|
|
|
Anno 2024
|
Anno 2025
|
Anno 2026
|
Anno 2027
|
|
Articolo ………….
|
|
|
|
|
|
23.Per quanto riguarda le entrate con destinazione specifica, precisare la linea o le linee di spesa interessate.
24.[…]
25.Altre osservazioni (ad es. formula/metodo per calcolare l'incidenza sulle entrate o altre informazioni)
26.[…]
27.4. DIMENSIONI DIGITALI
4.1. Prescrizioni di rilevanza digitale
Descrizione di alto livello delle prescrizioni di rilevanza digitale e delle relative categorie (dati, digitalizzazione dei processi e automazione, soluzioni digitali e/o servizi pubblici digitali)
|
Riferimento alla prescrizione
|
Descrizione della prescrizione
|
Soggetti interessati dalla prescrizione
|
Processi di alto livello
|
Categorie
|
|
Articolo 1
|
Modifica dell'articolo 1, paragrafo 1, del regolamento sui dati, estendendone l'ambito di applicazione all'istituzione di:
·un quadro per la registrazione dei servizi di intermediazione dei dati;
·un quadro per la registrazione volontaria delle entità che raccolgono e trattano i dati messi a disposizione a fini altruistici;
·un quadro per l'istituzione di un comitato europeo per l'innovazione in materia di dati.
|
Commissione europea
Servizi di intermediazione dei dati
Entità incaricate della raccolta e del trattamento dei dati
|
Estensione dell'ambito di applicazione del regolamento sui dati
|
Servizio pubblico digitale
|
|
Articolo 1
|
Modifica dell'articolo 4, paragrafo 8, e dell'articolo 5, paragrafo 11, del regolamento sui dati. I titolari dei dati che rifiutano di condividere i dati a norma della deroga riguardante i segreti commerciali forniscono un'adeguata notifica di tale decisione.
|
Titolari dei dati (detentori di segreti commerciali)
Autori di richieste di accesso
|
Notifica
|
Dati
|
|
Articolo 1
|
Inserimento dell'articolo 15 bis nel regolamento sui dati. Obbligo di mettere a disposizione i dati nel caso di un'emergenza pubblica.
|
Ente pubblico
Commissione europea
Banca centrale europea
Organismo dell'Unione
Titolari dei dati
|
Messa a disposizione dei dati
|
Dati
|
|
Articolo 1
|
Modifica dell'articolo 21, paragrafo 5, del regolamento sui dati. Prescrizioni riguardanti la condivisione dei dati ottenuti nel contesto di un'emergenza pubblica con organismi di ricerca o istituti statistici.
Inserimento dell'articolo 22 bis nel regolamento sui dati, che consente di presentare reclami in relazione al capo V ("Mettere i dati a disposizione di enti pubblici, della Commissione, della Banca centrale europea e degli organismi dell'Unione sulla base di necessità eccezionali").
|
Ente pubblico
Commissione europea
Banca centrale europea
Organismo dell'Unione
Titolare dei dati
Autorità nazionale competente
|
Condivisione dei dati
Reclami
|
Dati
|
|
Articolo 1
|
Modifiche dell'articolo 32, paragrafi da 1 a 5, del regolamento sui dati per quanto riguarda l'accesso dei paesi terzi ai dati non personali.
|
Fornitori di servizi di trattamento dei dati
Fornitori di servizi di intermediazione dei dati
Organizzazioni per l'altruismo dei dati
Organismi o autorità nazionali
|
Accesso governativo e trasferimento internazionali di dati
|
Dati
Servizio pubblico digitale
|
|
Articolo 1
|
Modifica dell'articolo 35, paragrafo 5, del regolamento sui dati, che consente alla Commissione di adottare specifiche comuni per quanto riguarda l'interoperabilità dei servizi di trattamento dei dati.
|
Fornitori di servizi di trattamento dei dati
Commissione europea
|
Adozione di specifiche comuni
|
Servizio pubblico digitale
|
|
Articolo 1
|
Modifica del regolamento sui dati che prevede l'aggiunta degli articoli da 32 bis a 32 sexies per introdurre il capo VII bis riguardante il quadro normativo per l'ottenimento di un titolo europeo da parte dei fornitori di servizi di intermediazione dei dati, nonché le procedure di notifica, la creazione di un registro pubblico, le condizioni per la fornitura di servizi, la designazione delle autorità competenti e il monitoraggio della conformità
Modifica del regolamento sui dati che prevede l'aggiunta dell'articolo 32 nonies per introdurre il capo VII ter riguardante la libera circolazione dei dati all'interno dell'Unione, nonché il divieto degli obblighi di localizzazione dei dati, gli obblighi di notifica alla Commissione e la pubblicazione di un elenco consolidato.
|
Fornitori di servizi di intermediazione dei dati
Interessati, titolari dei dati, utenti dei dati
Stati membri
Autorità competenti
Commissione europea
|
Istituzione del titolo europeo per i fornitori dei servizi di intermediazione dei dati
Istituzione della libera circolazione dei dati all'interno dell'Unione europea
|
Dati
Soluzione digitale
Digitalizzazione dei processi
Servizio pubblico digitale
|
|
Articolo 1
|
Modifica del regolamento sui dati che prevede l'aggiunta dell'articolo 32 nonies per introdurre il capo VII ter riguardante la libera circolazione dei dati all'interno dell'Unione, nonché il divieto degli obblighi di localizzazione dei dati, gli obblighi di notifica alla Commissione e la pubblicazione di un elenco consolidato.
|
Stati membri
Commissione europea
|
Istituzione della libera circolazione dei dati all'interno dell'Unione europea
|
Dati
Digitalizzazione dei processi
Servizio pubblico digitale
|
|
Articolo 1
|
Inserimento dell'articolo 32 decies nel regolamento sui dati, che definisce l'ambito di applicazione del capo VII quater. Tale capo stabilisce una serie di norme minime che disciplinano il riutilizzo dei dati e le modalità pratiche per facilitare tale riutilizzo.
Inserimento dell'articolo 32 undecies nel regolamento sui dati; disposizioni in materia di non discriminazione per quanto riguarda il riutilizzo di dati e documenti.
|
Stati membri
Titolari dei dati
Utenti dei dati
|
Definizione dell'oggetto e dell'ambito di applicazione
Non discriminazione
|
Servizio pubblico digitale
|
|
Articolo 1
|
Inserimento dell'articolo 32 duodecies nel regolamento sui dati. Norme relative agli accordi di esclusiva per il riutilizzo dei dati. Prevede l'obbligo di rendere pubblici i termini definitivi degli accordi.
|
Potenziali operatori del mercato
Enti pubblici
Parti di tali accordi
|
|
Servizio pubblico digitale
Dati
|
|
Articolo 1
|
Modifiche del regolamento sui dati:
·41): inserimento dell'articolo 32 quindecies sul principio generale per il riutilizzo dei dati aperti della pubblica amministrazione
·42): inserimento dell'articolo 32 sexdecies sul trattamento delle richieste di riutilizzo dei dati
·43): inserimento dell'articolo 32 septdecies sui formati per il riutilizzo dei dati
·46): inserimento dell'articolo 32 vicies sulle modalità pratiche per facilitare la ricerca di dati o documenti disponibili per il riutilizzo
|
Titolari dei dati
Utenti dei dati
Stati membri (enti pubblici)
Commissione europea
|
Norme sul riutilizzo dei dati
|
Servizio pubblico digitale
Dati
Digitalizzazione dei processi
|
|
Articolo 1
|
Inserimento dell'articolo 32 unvicies nel regolamento sui dati; obbligo di promuovere la disponibilità dei dati della ricerca.
|
Stati membri
Organizzazioni di ricerca
Utenti dei dati
|
Norme sul riutilizzo dei dati
|
Servizio pubblico digitale
Dati
|
|
Articolo 1
|
Inserimento dell'articolo 32 duovicies nel regolamento sui dati. Definizione di modalità per la pubblicazione e il riutilizzo di specifiche serie di dati di elevato valore.
|
Commissione europea
Enti pubblici, imprese pubbliche
|
Norme sul riutilizzo dei dati
|
Servizio pubblico digitale
Dati
|
|
Articolo 1
|
Inserimento dell'articolo 32 quatervicies nel regolamento sui dati. Definizione delle condizioni per il riutilizzo di determinate categorie di dati. Le procedure per la richiesta e le condizioni per consentire tale riutilizzo sono rese pubbliche attraverso lo sportello unico.
|
Enti pubblici
Utenti dei dati
|
Norme sul riutilizzo dei dati
|
Servizio pubblico digitale
Dati
|
|
Articolo 1
|
Inserimento dell'articolo 32 quinvicies nel regolamento sui dati; requisiti per il trasferimento di dati non personali a paesi terzi da parte dei riutilizzatori.
|
Riutilizzatori dei dati
Enti pubblici
Persone fisiche/giuridiche i cui diritti possono essere lesi
|
Trasferimento dei dati a paesi terzi
|
Servizio pubblico digitale
Dati
|
|
Articolo 1
|
Modifiche del regolamento sui dati:
·55): inserimento dell'articolo 32 septvicies; misure organizzative relative agli organismi competenti.
·57): inserimento dell'articolo 32 novovicies sulle procedure per le richieste di riutilizzo dei dati.
·58): sostituzione dell'articolo 38, paragrafi 1 e 2, sul diritto di presentare un reclamo.
|
Organismi competenti
Stati membri
Enti pubblici
|
Istituzione di organismi competenti
Procedure di richiesta
Reclami
|
Servizio pubblico digitale
Dati
|
|
Articolo 1
|
Inserimento dell'articolo 32 octovicies nel regolamento sui dati. Imposizione del ricorso a uno sportello unico per facilitare il riutilizzo dei dati.
|
Stati membri
Titolari dei dati
Utenti dei dati
Commissione europea
|
Istituzione di un punto di accesso unico
|
Soluzioni digitali
Servizio pubblico digitale
Digitalizzazione dei processi
Dati
|
|
Articolo 1
|
Modifica del regolamento sui dati che prevede l'aggiunta degli articoli 41 bis, 42, 45, 46, 48 bis, 49 e 49 bis per introdurre il capo IX bis che istituisce il comitato europeo per l'innovazione in materia di dati (EDIB) come gruppo di esperti per coordinare l'applicazione delle norme e facilitare lo sviluppo di un'economia europea dei dati, che include prescrizioni riguardanti la composizione e il ruolo del comitato, che promuove la cooperazione tra le autorità competenti e sostiene l'applicazione coerente degli obblighi giuridici.
|
Commissione europea, comitato europeo per l'innovazione in materia di dati (EDIB)
Rappresentanti degli Stati membri che si occupano dell'elaborazione di politiche nel settore dell'economia dei dati
Autorità competenti che si occupano dell'applicazione dei capi II, III e V
Autorità competenti per quanto riguarda il riutilizzo dell'informazione del settore pubblico (direttiva sull'apertura dei dati)
Autorità competenti per i servizi di intermediazione dei dati
Autorità competenti per la registrazione di organizzazioni per l'altruismo dei dati
Comitato europeo per la protezione dei dati (EDPB), Garante europeo della protezione dei dati (GEPD)
Agenzia dell'Unione europea per la cibersicurezza (ENISA)
Rappresentante dell'UE per le PMI o rappresentante della rete di rappresentanti per le PMI
Altri rappresentanti di organismi pertinenti in settori specifici
Organismi con competenze specifiche
Organizzazioni di normazione
Parlamento europeo, Consiglio dell'Unione europea, Comitato economico e sociale europeo
Fornitori di servizi di intermediazione dei dati
Organizzazioni per l'altruismo dei dati riconosciute
|
Istituzione del comitato europeo per l'innovazione in materia di dati (EDIB)
|
Servizio pubblico digitale
Dati
|
|
Articolo 3
|
Modifica dell'articolo 33 del regolamento (UE) 2016/679 (GDPR) per quanto riguarda le notifiche di violazioni dei dati personali. Impone, tra l'altro, l'uso del punto di accesso unico istituito a norma dell'articolo 23 bis della direttiva (UE) 2022/2555 e prevede il ricorso a modelli di notifica.
|
Interessati
Titolari del trattamento
Autorità di controllo
Comitato europeo per la protezione dei dati
Commissione europea
|
Notifica
|
Dati
|
|
Articolo 3
|
Modifica dell'articolo 35 e dell'articolo 70, paragrafo 1, del regolamento (UE) 2016/679 (GDPR). Obbligo per il comitato europeo per la protezione dei dati di trasmettere alla Commissione proposte volte a rendere più pratici alcuni aspetti della valutazione d'impatto sulla protezione dei dati, tra cui la proposta di un modello comune per tali valutazioni.
|
Comitato europeo per la protezione dei dati
Commissione europea
|
Proposte del comitato trasmesse alla Commissione
|
Dati
|
|
Articolo 3
|
Inserimento dell'articolo 88 ter nel regolamento (UE) 2016/679 (GDPR); gli interessati devono essere in grado di prestare il proprio consenso/esercitare il diritto di opposizione con mezzi automatizzati e leggibili da dispositivo automatico. Le norme dovrebbero essere elaborate da una o più organizzazioni europee di normazione.
|
Interessati
Titolari del trattamento
Organizzazioni europee di normazione
Commissione europea
|
Indicazioni automatizzate e leggibili da dispositivo automatico delle scelte dell'interessato
|
Soluzioni digitali
Automazione dei processi
|
|
Articolo 6
|
Modifica della direttiva (UE) 2022/2555 (NIS 2):
·1): inserimento dell'articolo 23 bis sull'istituzione e il mantenimento di un punto di accesso unico per la segnalazione degli incidenti;
·3): modifica dell'articolo 23, paragrafo 4, per imporre l'uso del punto di accesso unico per la notifica di incidenti gravi;
·4): inserimento dell'articolo 23, paragrafo 12, che garantisce che gli incidenti gravi siano segnalati una sola volta (a norma della direttiva NIS 2 o del regolamento sulla ciberresilienza);
·5): modifica dell'articolo 30, paragrafo 1, per garantire che il punto di accesso unico possa essere utilizzato, su base volontaria, per le notifiche da parte di soggetti diversi.
|
Soggetti notificanti (soggetti essenziali e importanti)
CSIRT/autorità competenti (a seconda dei casi)
Commissione europea
ENISA
|
Notifica
|
Dati
Soluzioni digitali
Servizio pubblico digitale
|
|
Articolo 7
|
Modifica del regolamento (UE) n. 910/2014 che impone l'uso del punto di accesso unico, a norma dell'articolo 23 bis della direttiva (UE) 2022/2555, per:
·articolo 19 bis, paragrafo 1 bis: le notifiche di cui al paragrafo 1, lettera b);
·articolo 24, paragrafo 2 bis: le notifiche di cui al paragrafo 2, lettera f ter); articolo 45 bis, paragrafo 3 bis: le notifiche di cui al paragrafo 3.
|
Soggetti notificanti (prestatori di servizi fiduciari non qualificati; prestatori di servizi fiduciari qualificati; fornitori di browser web)
Organismi di vigilanza
Altri organismi/autorità competenti pertinenti
Commissione europea
|
Notifica
|
Dati
|
|
Articolo 8
|
Modifica del regolamento (UE) 2022/2554 (DORA) che impone l'uso del punto di accesso unico, a norma dell'articolo 23 bis della direttiva (UE) 2022/2555, per:
·articolo 19, paragrafo 1: gli incidenti gravi connessi alle TIC;
·articolo 19, paragrafo 2: le notifiche volontarie di minacce informatiche significative.
|
Soggetti notificanti (entità finanziarie)
Organismi di vigilanza
Altri organismi/autorità competenti pertinenti
Commissione europea
ENISA
|
Notifica
|
Dati
|
|
Articolo 9
|
Modifica della direttiva (UE) 2022/2557 (CER) che impone l'uso del punto di accesso unico, a norma dell'articolo 23 bis della direttiva (UE) 2022/2555, per:
·articolo 15, paragrafo 1: gli incidenti che perturbano o possono perturbare in modo significativo la fornitura di servizi essenziali.
|
Soggetti notificanti (soggetti critici)
Organismi di vigilanza
Altri organismi/autorità competenti pertinenti
Commissione europea
ENISA
|
Notifica
|
Dati
|
4.2. Dati
Descrizione di alto livello dei dati che rientrano nell'ambito di applicazione
|
Tipo di dati
|
Riferimento alle prescrizioni
|
Norma e/o specifica (se del caso)
|
|
Rifiuto di una richiesta di accesso ai dati a norma della deroga riguardante i segreti commerciali (e relativa notifica all'autorità competente)
|
Articolo 1
|
Da motivare sulla base di elementi oggettivi.
|
|
Dati da mettere a disposizione nel contesto di un'emergenza pubblica
|
Articolo 1
|
Compresi i metadati necessari per interpretare e utilizzare i dati. Nel caso di dati personali, ove possibile, in forma pseudonimizzata.
|
|
Notifica dell'intenzione di mettere a disposizione i dati nel contesto di un'emergenza pubblica
|
Articolo 1
|
Che indichi l'identità e i dati di contatto dell'organizzazione o della persona che riceve i dati, le finalità della trasmissione o della messa a disposizione dei dati, il periodo per il quale i dati devono essere utilizzati e le misure tecniche e organizzative di protezione adottate.
|
|
Presentazione dei reclami a norma del capo V ("Mettere i dati a disposizione di enti pubblici, della Commissione, della Banca centrale europea e degli organismi dell'Unione sulla base di necessità eccezionali")
|
Articolo 1
|
//
|
|
Dati non personali detenuti nell'Unione europea
|
Articolo 1
|
//
|
|
Dati da fornire in risposta a una richiesta di riutilizzo dei dati
|
Articolo 1
|
Fornire la quantità minima di dati consentita
|
|
Notifica della richiesta di riutilizzo dei dati in procinto di essere accolta
|
Articolo 1
|
//
|
|
Dati per i quali sono forniti servizi di intermediazione (titolo europeo per i fornitori di servizi di intermediazione dei dati e le organizzazioni per l'altruismo dei dati)
|
Articolo 1
|
Formato ricevuto dall'interessato/dal titolare dei dati; conversioni solo per migliorare l'interoperabilità o per conformarsi alle norme internazionali/europee in materia di dati
|
|
Informazioni sugli usi dei dati e sui termini applicabili (titolo europeo per i fornitori di servizi di intermediazione dei dati e le organizzazioni per l'altruismo dei dati)
|
Articolo 1
|
Devono essere fornite in modo conciso, trasparente, intelligibile e facilmente accessibile
|
|
Domande di registrazione nel registro pubblico dell'Unione e modifiche delle informazioni notificate (titolo europeo per i fornitori di servizi di intermediazione dei dati e le organizzazioni per l'altruismo dei dati)
|
Articolo 1
|
Le autorità competenti predispongono i necessari moduli di domanda.
|
|
Domande di registrazione accettate da aggiungere al registro pubblico dell'Unione (titolo europeo per i fornitori di servizi di intermediazione dei dati e le organizzazioni per l'altruismo dei dati)
|
Articolo 1
|
//
|
|
Notifica di successive modifiche delle informazioni fornite durante la procedura di domanda (titolo europeo per i fornitori di servizi di intermediazione dei dati e le organizzazioni per l'altruismo dei dati)
|
Articolo 1
|
//
|
|
Ricevimento della notifica di modifiche successive (titolo europeo per i fornitori di servizi di intermediazione dei dati e le organizzazioni per l'altruismo dei dati)
|
Articolo 1
|
//
|
|
Informazioni fornite agli interessati/ai titolari dei dati prima del trattamento (titolo europeo per i fornitori di servizi di intermediazione dei dati e le organizzazioni per l'altruismo dei dati)
|
Articolo 1
|
//
|
|
Consenso (o revoca del consenso) al trattamento dei dati da parte di un'organizzazione per l'altruismo dei dati riconosciuta (titolo europeo per i fornitori di servizi di intermediazione dei dati e le organizzazioni per l'altruismo dei dati)
|
Articolo 1
|
Da ottenere per via elettronica
|
|
Informazioni sulla giurisdizione del paese terzo in cui si intende utilizzare i dati
|
Articolo 1
|
//
|
|
Notifica di trasferimenti, accesso o uso non autorizzati di dati non personali (titolo europeo per i fornitori di servizi di intermediazione dei dati e le organizzazioni per l'altruismo dei dati)
|
Articolo 1
|
//
|
|
Informazioni per il monitoraggio della conformità (titolo europeo per i fornitori di servizi di intermediazione dei dati e le organizzazioni per l'altruismo dei dati)
|
Articolo 1
|
Le richieste devono essere proporzionate e motivate
|
|
Notifica di non conformità (titolo europeo per i fornitori di servizi di intermediazione dei dati e le organizzazioni per l'altruismo dei dati)
|
Articolo 1
|
//
|
|
Decisione di revocare il diritto di utilizzare il titolo (titolo europeo per i fornitori di servizi di intermediazione dei dati e le organizzazioni per l'altruismo dei dati)
|
Articolo 1
|
//
|
|
Progetti di atti sugli obblighi di localizzazione dei dati
|
Articolo 1
|
//
|
|
Termini definitivi degli accordi di esclusiva
|
Articolo 1
|
//
|
|
Dati (e/o notifiche) relativi a una richiesta di riutilizzo
|
Articolo 1
|
In qualsiasi formato o lingua preesistente e, ove possibile e opportuno, per via elettronica, in formati aperti, leggibili da dispositivo automatico, accessibili, reperibili e riutilizzabili, insieme ai rispettivi metadati.
|
|
Dati della ricerca finanziata con fondi pubblici
|
Articolo 1
|
Apertamente disponibili, secondo il principio dell'apertura per impostazione predefinita e compatibili con i principi FAIR
|
|
Specifiche serie di dati di elevato valore
|
Articolo 1
|
Disponibili gratuitamente; leggibili da dispositivo automatico; fornite mediante API e come download in blocco (se del caso). Atti di esecuzione da seguire; questi possono includere formati di dati e metadati.
|
|
Condizioni per consentire il riutilizzo dei dati o dei documenti di cui all'articolo 2, punto 54)
|
Articolo 1
|
Pubblicamente disponibili.
|
|
Notifica del riutilizzo non autorizzato di dati non personali
|
Articolo 1
|
//
|
|
Notifica dell'intenzione di trasferire dati non personali a un paese terzo e della finalità di tale trasferimento (all'ente pubblico)
|
Articolo 1
|
//
|
|
Notifica dell'intenzione di trasferire dati non personali a un paese terzo, della finalità di tale trasferimento e delle garanzie adeguate (alla persona fisica o giuridica i cui diritti e interessi possono essere lesi)
|
Articolo 1
|
//
|
|
Tutte le informazioni pertinenti relative all'applicazione dell'articolo 32 septvicies (condizioni per il riutilizzo), dell'articolo 32 octovicies (paesi terzi) e dell'articolo 32 novovicies (tariffe) del regolamento sui dati.
|
Articolo 1
|
Disponibili e facilmente accessibili attraverso uno sportello unico.
|
|
Reclami presentati da persone fisiche/giuridiche in caso di violazione dei loro diritti a norma del regolamento sui dati o per altre questioni pertinenti
|
Articolo 1
|
//
|
|
Informazioni sullo stato di avanzamento di procedimenti/ricorsi giurisdizionali in relazione a un reclamo presentato a norma del regolamento sui dati
|
Articolo 1
|
//
|
|
Esperienze e buone pratiche in materia di dati (EDIB)
|
Articolo 1
|
//
|
|
Valutazione dei capi II, III, IV, V, VI, VII e VIII del regolamento sui dati
Valutazione dei capi VII bis, VII ter e VII quater del regolamento sui dati
|
Articolo 1
Articolo 1
|
Sono previsti requisiti minimi in termini di contenuti per le relazioni.
|
|
Notifiche di violazioni dei dati personali
|
Articolo 3
|
Attraverso il punto di accesso unico istituito a norma dell'articolo 23 bis della direttiva (UE) 2022/2555, rispettando le specifiche di tale punto di accesso.
Il comitato europeo per la protezione dei dati prepara una proposta di modello comune (cfr. la voce seguente).
|
|
Proposta dell'EDPB relativa a un modello comune di notifica delle violazioni dei dati
|
Articolo 3
|
//
|
|
Proposte dell'EDPB relative alla valutazione d'impatto sulla protezione dei dati
|
Articolo 3
|
//
|
|
Segnalazioni di incidenti significativi ai sensi della direttiva NIS 2
|
Articolo 6
|
Attraverso il punto di accesso unico istituito a norma dell'articolo 23 bis della direttiva (UE) 2022/2555, rispettando le specifiche di tale punto di accesso.
|
|
Notifiche di violazioni dei dati personali
|
Articolo 3
|
Attraverso il punto di accesso unico istituito a norma dell'articolo 23 bis della direttiva (UE) 2022/2555, rispettando le specifiche di tale punto di accesso
|
|
Notifiche di incidenti gravi connessi alle TIC a norma del regolamento DORA; notifiche volontarie di minacce informatiche significative a norma del regolamento DORA
|
Articolo 8
|
Attraverso il punto di accesso unico istituito a norma dell'articolo 23 bis della direttiva (UE) 2022/2555, rispettando le specifiche di tale punto di accesso
|
|
Notifiche di incidenti che perturbano o possono perturbare in modo significativo la fornitura di servizi essenziali, a norma della direttiva CER
|
Articolo 9
|
Attraverso il punto di accesso unico istituito a norma dell'articolo 23 bis della direttiva (UE) 2022/2555, rispettando le specifiche di tale punto di accesso
|
Allineamento con la strategia europea per i dati
Spiegazione del modo in cui le prescrizioni sono allineate alla strategia europea per i dati
|
Le modifiche del regolamento sui dati prevedono l'istituzione dell'EDIB (capo IX bis), destinato a coordinare l'applicazione delle norme e a elaborare orientamenti per gli spazi comuni europei di dati settoriali, nonché la creazione di titoli europei per i fornitori di servizi di intermediazione dei dati e le organizzazioni per l'altruismo dei dati (capo VII bis), che permettano di creare un ecosistema affidabile per la condivisione dei dati e la protezione dei diritti; il capo VII ter prevede la libera circolazione dei dati non personali vietando obblighi ingiustificati di localizzazione dei dati; il capo VII quater razionalizza le norme sul riutilizzo dei dati del settore pubblico, accorpando le disposizioni della direttiva sull'apertura dei dati e quelle del regolamento sulla governance dei dati; le norme sui trasferimenti internazionali di dati rafforzano la sovranità digitale europea proteggendo i dati dall'accesso non autorizzato da parte di paesi terzi; infine, le esenzioni previste per le PMI e la presenza del rappresentante dell'UE per le PMI nell'EDIB garantiscono che l'economia dei dati sia più accessibile anche alle piccole imprese.
|
Allineamento con il principio "una tantum"
Spiegazione del modo in cui è stato preso in considerazione il principio "una tantum" e di come è stata esplorata la possibilità di riutilizzare i dati esistenti
|
Le modifiche permettono l'applicazione del principio "una tantum" tramite la creazione di un'infrastruttura che consenta di riutilizzare in modo efficiente i dati: l'EDIB si occupa di elaborare norme di interoperabilità da applicare in tutti gli spazi comuni europei di dati per ridurre il problema della duplicazione dei dati forniti; i servizi di intermediazione dei dati fungono da intermediari affidabili che consentono di condividere in modo sicuro i dati esistenti, eliminando il problema di una raccolta di dati superflua; le organizzazioni per l'altruismo dei dati agevolano la condivisione volontaria dei dati a fini di pubblica utilità, mettendo a disposizione dati riutilizzabili per la ricerca e i servizi pubblici; le disposizioni in materia di libera circolazione dei dati prevengono la presenza di ostacoli che comportano la necessità di archiviare i dati in più sedi; e le garanzie riguardanti i trasferimenti internazionali assicurano l'accessibilità transfrontaliera dei dati, garantendone nel contempo la protezione, consentendo alle persone e alle imprese di fornire i loro dati una volta sola e di rispondere alle esigenze che si presentano successivamente attraverso meccanismi di condivisione sicuri e rispettosi dei diritti. Allo stesso tempo, le disposizioni relative al punto di accesso unico consentono di applicare ulteriormente il principio "una tantum" per quanto riguarda la segnalazione degli incidenti.
|
Spiegazione del modo in cui i dati di nuova creazione possano essere reperiti, siano accessibili, interoperabili e riutilizzabili e soddisfino standard di elevata qualità
|
Le modifiche garantiscono che i dati di nuova creazione soddisfino i principi FAIR e le norme di qualità attraverso meccanismi coordinati: l'EDIB elabora specifiche tecniche comuni e protocolli di interoperabilità accessibili in tutti gli spazi di dati settoriali; le disposizioni in materia di libera circolazione dei dati permettono di prevenire la frammentazione che compromette la qualità dei dati; il ruolo di coordinamento dell'EDIB può consentire di attuare in modo armonizzato in tutti gli Stati membri le norme riguardanti i metadati, i requisiti tecnici e i parametri di riferimento relativi alla qualità.
|
Flussi di dati
Descrizione ad alto livello dei flussi di dati
N.B.: la maggior parte dei flussi di dati descritti di seguito sono flussi preesistenti che vengono spostati da un regolamento all'altro. In particolare, le disposizioni del regolamento sulla governance dei dati sono trasferite nel regolamento sui dati.
|
Tipo di dati
|
Riferimenti alle prescrizioni
|
Soggetti che forniscono i dati
|
Soggetti che ricevono i dati
|
Motivo dello scambio di dati
|
Frequenza (se del caso)
|
|
Rifiuto di una richiesta di accesso ai dati a norma della deroga riguardante i segreti commerciali (e relativa notifica all'autorità competente)
|
Articolo 1
Modifica dell'articolo 4, paragrafo 8, e dell'articolo 5, paragrafo 11, del regolamento sui dati
|
Titolare dei dati
|
Utente dei dati (che presenta la richiesta); autorità competente designata ai sensi dell'articolo 37
|
Rifiuto di una richiesta di accesso ai dati a norma della deroga riguardante i segreti commerciali
|
Ad hoc
|
|
Dati da mettere a disposizione nel contesto di un'emergenza pubblica
|
Articolo 1
Inserimento dell'articolo 15 bis nel regolamento sui dati
|
Titolare dei dati
|
Ente pubblico; Commissione europea; Banca centrale europea; Organismo dell'Unione
|
Emergenza pubblica + richieste di accesso ai dati che soddisfano le condizioni necessarie
|
Ad hoc
|
|
Notifica dell'intenzione di mettere a disposizione i dati nel contesto di un'emergenza pubblica
|
Articolo 1
Modifica dell'articolo 21, paragrafo 5, del regolamento sui dati
|
Ente pubblico; Commissione europea; Banca centrale europea; Organismo dell'Unione
|
Titolare dei dati da cui sono stati ricevuti i dati
|
Emergenza pubblica + Intenzione di trasmettere o mettere a disposizione dati
|
Ad hoc
|
|
Presentazione dei reclami a norma del capo V ("Mettere i dati a disposizione di enti pubblici, della Commissione, della Banca centrale europea e degli organismi dell'Unione sulla base di necessità eccezionali")
|
Articolo 1
Inserimento dell'articolo 22 bis nel regolamento sui dati
|
Titolare dei dati; ente pubblico; Commissione europea; Banca centrale europea; Organismo dell'Unione
|
Autorità competente dello Stato membro in cui il titolare dei dati è stabilito
|
In caso di controversia in merito a una richiesta di dati a norma dell'articolo 15 bis del regolamento sui dati
|
Ad hoc
|
|
Dati non personali detenuti nell'Unione europea
|
Articolo 1
Modifica dei seguenti articoli del regolamento sui dati:
articolo 32, paragrafi 1, 3 e 4
|
Fornitori di servizi di trattamento dei dati, fornitori di servizi di intermediazione dei dati, organizzazioni per l'altruismo dei dati
|
Organi giurisdizionali di paesi terzi,
autorità amministrative di paesi terzi, clienti (titolari dei dati/interessati)
|
Richiesta di un paese terzo basata su un accordo internazionale, richiesta di un paese terzo che soddisfa le condizioni di cui all'articolo 32, paragrafo 3, richiesta dei clienti di accesso ai propri dati
|
Ad hoc
|
|
Dati da fornire in risposta a una richiesta di riutilizzo dei dati
|
Articolo 1
Modifica dell'articolo 32, paragrafi 4 e 5, del regolamento sui dati
|
Fornitore di servizi di intermediazione dei dati o organizzazione per l'altruismo dei dati riconosciuta
|
L'autore della richiesta di riutilizzo dei dati (autorità del paese terzo)
|
Richiesta di riutilizzo dei dati accolta
|
Ad hoc
|
|
Notifica della richiesta di riutilizzo dei dati in procinto di essere accolta
|
Articolo 1
Modifica dell'articolo 32, paragrafi 4 e 5, del regolamento sui dati
|
Fornitore di servizi di intermediazione dei dati o organizzazione per l'altruismo dei dati riconosciuta
|
Cliente
|
Richiesta di riutilizzo dei dati da parte dell'autorità di un paese terzo accolta (tranne nei casi in cui la richiesta abbia finalità di contrasto)
|
Ad hoc
|
|
Informazioni da pubblicare in registri pubblici (titolo europeo per i fornitori di servizi di intermediazione dei dati e le organizzazioni per l'altruismo dei dati)
|
Articolo 1
Inserimento dell'articolo 32 bis nel regolamento sui dati
|
Commissione europea
|
Pubblico
|
Le informazioni sui servizi di intermediazione dei dati o sulle organizzazioni per l'altruismo dei dati riconosciuti diventano disponibili o devono essere modificate
|
In corso (registro regolarmente aggiornato)
|
|
Dati per i quali sono forniti servizi di intermediazione (titolo europeo per i fornitori di servizi di intermediazione dei dati e le organizzazioni per l'altruismo dei dati)
|
Articolo 1
Inserimento dell'articolo 32 quater nel regolamento sui dati
|
Interessati
Titolari dei dati
|
Utenti dei dati (tramite il fornitore di servizi di intermediazione dei dati)
|
Consenso degli interessati
Permesso dei titolari dei dati
Richiesta degli utenti dei dati
|
Come da accordo/contratto tra le parti
|
|
Informazioni sugli usi dei dati e sui termini applicabili (titolo europeo per i fornitori di servizi di intermediazione dei dati e le organizzazioni per l'altruismo dei dati)
|
Articolo 1
Inserimento dell'articolo 32 quater nel regolamento sui dati
|
Fornitore dei servizi di intermediazione dei dati
|
Interessati
|
Prima che l'interessato dia il consenso all'utilizzo dei dati
|
Ogni volta, prima che sia richiesto il consenso
|
|
Domande di registrazione nel registro pubblico dell'Unione e modifiche delle informazioni notificate (titolo europeo per i fornitori di servizi di intermediazione dei dati e le organizzazioni per l'altruismo dei dati)
|
Articolo 1
Inserimento dell'articolo 32 sexies nel regolamento sui dati
|
Fornitori di servizi di intermediazione dei dati
Organizzazioni per l'altruismo dei dati
|
Autorità competente dello Stato membro di stabilimento principale
|
Domanda
|
Ad hoc
|
|
Domande di registrazione accettate da aggiungere al registro pubblico dell'Unione (titolo europeo per i fornitori di servizi di intermediazione dei dati e le organizzazioni per l'altruismo dei dati)
|
Articolo 1
Inserimento dell'articolo 32 sexies nel regolamento sui dati
|
Autorità competente
|
Commissione europea
|
Domanda accettata
|
Ad hoc (entro 12 settimane dal ricevimento della domanda, a condizione che la decisione sia positiva)
|
|
Notifica di successive modifiche delle informazioni fornite durante la procedura di domanda (titolo europeo per i fornitori di servizi di intermediazione dei dati e le organizzazioni per l'altruismo dei dati)
|
Articolo 1
Inserimento dell'articolo 32 sexies nel regolamento sui dati
|
Soggetti registrati
|
Autorità competente
|
Modifica delle informazioni fornite o in caso di cessazione di attività nell'Unione
|
Ad hoc
|
|
Ricevimento della notifica di modifiche successive (titolo europeo per i fornitori di servizi di intermediazione dei dati e le organizzazioni per l'altruismo dei dati)
|
Articolo 1
Inserimento dell'articolo 32 sexies nel regolamento sui dati
|
Autorità competente
|
Commissione europea
|
Notifica di modifiche da parte dei soggetti registrati (cfr. la voce precedente)
|
Ad hoc, senza ritardo
|
|
Informazioni fornite agli interessati/ai titolari dei dati prima del trattamento (titolo europeo per i fornitori di servizi di intermediazione dei dati e le organizzazioni per l'altruismo dei dati)
|
Articolo 1
Inserimento dell'articolo 32 septies nel regolamento sui dati
|
Organizzazione per l'altruismo dei dati riconosciuta
|
Interessati
Titolari dei dati
|
Prima di trattare i loro dati
|
Prima di ogni attività di trattamento (devono essere chiare e facilmente comprensibili)
|
|
Consenso (o revoca del consenso) al trattamento dei dati da parte di un'organizzazione per l'altruismo dei dati riconosciuta (titolo europeo per i fornitori di servizi di intermediazione dei dati e le organizzazioni per l'altruismo dei dati)
|
Articolo 1
Inserimento dell'articolo 32 septies nel regolamento sui dati
|
Interessati
Titolari dei dati (se dati non personali)
|
Organizzazione per l'altruismo dei dati
|
Consenso dell'interessato/permesso del titolare dei dati necessari per le attività di trattamento
|
In base al consenso/permesso concessi, con possibilità di revoca in qualsiasi momento
|
|
Informazioni sulla giurisdizione del paese terzo in cui si intende utilizzare i dati
|
Articolo 1
Inserimento dell'articolo 32 septies nel regolamento sui dati
|
Organizzazione per l'altruismo dei dati
|
Titolari dei dati
|
Quando un'organizzazione per l'altruismo dei dati facilita il trattamento dei dati da parte di terzi
|
Ad hoc
|
|
Notifica di trasferimenti, accesso o uso non autorizzati di dati non personali (titolo europeo per i fornitori di servizi di intermediazione dei dati e le organizzazioni per l'altruismo dei dati)
|
Articolo 1
Inserimento dell'articolo 32 septies nel regolamento sui dati
|
Organizzazione per l'altruismo dei dati
|
Titolari dei dati
|
Azione non autorizzata
|
Ad hoc, senza ritardo
|
|
Informazioni per il monitoraggio della conformità (titolo europeo per i fornitori di servizi di intermediazione dei dati e le organizzazioni per l'altruismo dei dati)
|
Articolo 1
Inserimento dell'articolo 32 octies nel regolamento sui dati
|
Fornitori di servizi di intermediazione dei dati
Organizzazioni per l'altruismo dei dati
|
Autorità competenti
|
Richiesta dell'autorità competente
Richiesta da parte di una persona fisica o giuridica
|
Ad hoc (su richiesta, che deve essere proporzionata e motivata)
|
|
Notifica di non conformità (titolo europeo per i fornitori di servizi di intermediazione dei dati e le organizzazioni per l'altruismo dei dati)
|
Articolo 1
Inserimento dell'articolo 32 octies nel regolamento sui dati
|
Autorità competente
|
Soggetto risultato non conforme
|
L'autorità competente ritiene che un fornitore di servizi di intermediazione dei dati riconosciuto o un'organizzazione per l'altruismo dei dati riconosciuta non sia conforme
|
Ad hoc (e in seguito possibilità per il soggetto di esprimere il proprio parere entro 30 giorni)
|
|
Decisione di revocare il diritto di utilizzare il titolo (titolo europeo per i fornitori di servizi di intermediazione dei dati e le organizzazioni per l'altruismo dei dati)
|
Articolo 1
Inserimento dell'articolo 32 octies nel regolamento sui dati
|
Autorità competente
|
Pubblico
|
A seguito della decisione di revoca del titolo
|
Ad hoc
|
|
Progetti di atti sugli obblighi di localizzazione dei dati
|
Articolo 1
|
Stati membri
|
Commissione europea
|
Definizione di un progetto di atto che introduca un nuovo obbligo di localizzazione dei dati o apporti modifiche a un vigente obbligo di localizzazione dei dati
|
Ad hoc, immediatamente
|
|
Termini definitivi degli accordi di esclusiva
|
Articolo 1
|
Parti dell'accordo
|
Pubblico
|
Accordi di esclusiva conclusi il 16 luglio 2019 o successivamente a tale data
|
Ad hoc, almeno due mesi prima dell'entrata in vigore di un accordo
|
|
Dati (e/o notifiche) relativi a una richiesta di riutilizzo
|
Articolo 1
Inserimento dell'articolo 32 septdecies nel regolamento sui dati
|
Enti pubblici
|
Autori delle richieste di riutilizzo dei dati
|
Nel caso debba essere presentato uno dei seguenti documenti: dati/documenti richiesti; assegnazione delle licenze; comunicazione di ritardi; notifica di una decisione negativa.
|
Ad hoc
|
|
Termini definitivi degli accordi di esclusiva
|
Articolo 1
Inserimento dell'articolo 32 duodecies nel regolamento sui dati
|
Parti dell'accordo di esclusiva
|
Grande pubblico
|
Termini definitivi di un accordo di esclusiva raggiunti
|
Ad hoc
|
|
Condizioni per consentire il riutilizzo dei dati o dei documenti di cui all'articolo 2, punto 54)
|
Articolo 1
Inserimento dell'articolo 32 septvicies nel regolamento sui dati
|
Enti pubblici (competenti in materia di concessione o rifiuto delle richieste di accesso)
|
Grande pubblico
|
Quando concedono la possibilità di riutilizzare dati o documenti
|
Ad hoc
|
|
Notifica del riutilizzo non autorizzato di dati non personali
|
Articolo 1
Inserimento dell'articolo 32 septvicies nel regolamento sui dati
|
Riutilizzatore (eventualmente con l'assistenza dell'ente pubblico)
|
Persone fisiche o giuridiche i cui diritti e interessi possono essere lesi
|
Riutilizzo non autorizzato
|
Ad hoc
|
|
Notifica dell'intenzione di trasferire dati non personali a un paese terzo e della finalità di tale trasferimento (all'ente pubblico)
|
Articolo 1
Inserimento dell'articolo 32 octovicies nel regolamento sui dati
|
Riutilizzatore
|
Ente pubblico
|
Intenzione di trasferire dati a un paese terzo
|
Ad hoc
|
|
Notifica dell'intenzione di trasferire dati non personali a un paese terzo, della finalità di tale trasferimento e delle garanzie adeguate (alla persona fisica o giuridica i cui diritti e interessi possono essere lesi)
|
Articolo 1
Inserimento dell'articolo 32 octovicies nel regolamento sui dati
|
Riutilizzatore (eventualmente con l'assistenza dell'ente pubblico)
|
Persona fisica o giuridica i cui diritti e interessi possono essere lesi
|
Intenzione di trasferire dati a un paese terzo
|
Ad hoc
|
|
Tutte le informazioni pertinenti relative all'applicazione dell'articolo 32 septvicies (condizioni per il riutilizzo), dell'articolo 32 octovicies (paesi terzi) e dell'articolo 32 novovicies (tariffe) del regolamento sui dati.
|
Articolo 1
Inserimento dell'articolo 32 novovicies nel regolamento sui dati
|
Stati membri
|
A disposizione degli utenti dello sportello unico
|
Devono essere fornite informazioni pertinenti
|
Ad hoc
|
|
Reclami presentati da persone fisiche/giuridiche in caso di violazione dei loro diritti a norma del regolamento sui dati o per altre questioni pertinenti
|
Articolo 1
Modifica dell'articolo 38, paragrafi 1 e 2, del regolamento sui dati
|
Persone fisiche o giuridiche
|
Autorità competente dello Stato membro interessato
|
Reclamo da presentare
|
Ad hoc
|
|
Informazioni sullo stato di avanzamento di procedimenti/ricorsi giurisdizionali in relazione a un reclamo presentato a norma del regolamento sui dati
|
Articolo 1
Modifica dell'articolo 38, paragrafi 1 e 2, del regolamento sui dati
|
Autorità competente pertinente
|
Persone fisiche o giuridiche all'origine del reclamo
|
Reclamo presentato
|
Ad hoc
|
|
Esperienze e buone pratiche in materia di dati (EDIB)
|
Articolo 1
Inserimento del capo IX bis nel regolamento sui dati
|
Comitato europeo per l'innovazione in materia di dati
|
Commissione; Autorità competenti
|
Dati da fornire
|
Ad hoc
|
|
Valutazione dei capi II, III, IV, V, VI, VII e VIII del regolamento sui dati
Valutazione dei capi VII bis, VII ter e VII quater del regolamento sui dati
|
Articolo 1
Modifica dell'articolo 49, paragrafo 1, del regolamento sui dati
Articolo 1
Modifica dell'articolo 49, paragrafo 2, del regolamento sui dati
|
Commissione europea
|
Parlamento europeo; Consiglio; Comitato economico e sociale europeo
|
Valutazione del regolamento sui dati effettuata
|
Entro il 12 settembre 2028
Entro [entrata in vigore + 5 anni]
|
|
Notifiche di violazioni dei dati personali
|
Articolo 3
Modifica dell'articolo 33, paragrafo 1, del GDPR
|
Titolare del trattamento
|
Autorità di controllo
|
Violazione dei dati in corso
|
Ad hoc
|
|
Proposta dell'EDPB relativa a un modello comune di notifica delle violazioni dei dati
|
Articolo 3
Modifica dell'articolo 33, paragrafo 1, del GDPR
|
Comitato europeo per la protezione dei dati
|
Commissione
|
Proposta da presentare
|
Entro [mesi] dall'entrata in applicazione del presente regolamento
Triennale
|
|
Proposte dell'EDPB relative alla valutazione d'impatto sulla protezione dei dati
|
Articolo 3
Modifica dell'articolo 70, paragrafo 1, del GDPR
|
Comitato europeo per la protezione dei dati
|
Commissione
|
Proposta da presentare
|
Ad hoc
|
|
Segnalazioni di incidenti significativi ai sensi della direttiva NIS 2
|
Articolo 6
Inserimento degli articoli 23 bis e 23 ter, modifica dell'articolo 23 e dell'articolo 30, paragrafo 1, della direttiva NIS 2
|
Soggetti essenziali e importanti
|
CSIRT/autorità competenti (a seconda dei casi)
|
Circostanze di cui all'articolo 23, paragrafo 3, della direttiva NIS 2
|
Ad hoc
|
|
Notifiche di violazioni dei dati personali
|
Articolo 3
Modifica dell'articolo 33 del GDPR
|
Titolari del trattamento
|
Autorità di controllo
|
Violazione dei dati personali
|
Ad hoc
|
|
Notifiche di incidenti gravi connessi alle TIC a norma del regolamento DORA; notifiche volontarie di minacce informatiche significative a norma del regolamento DORA
|
Articolo 8
Modifica dell'articolo 19 del DORA
|
Entità finanziarie
|
Autorità competente pertinente
|
Incidenti gravi connessi alle TIC; minacce informatiche significative
|
Ad hoc
|
|
Notifiche di incidenti che perturbano o possono perturbare in modo significativo la fornitura di servizi essenziali, a norma della direttiva CER
|
Articolo 9
Modifica dell'articolo 15 della direttiva CER
|
Soggetti critici
|
Autorità competente
|
Incidenti che perturbano o possono perturbare in modo significativo la fornitura di servizi essenziali
|
Ad hoc
|
4.3. Soluzioni digitali
Descrizione ad alto livello delle soluzioni digitali
N.B.: tutte le soluzioni digitali illustrate di seguito sono soluzioni preesistenti la cui base giuridica viene trasferita da un regolamento all'altro. In particolare, le disposizioni del regolamento sulla governance dei dati sono trasferite nel regolamento sui dati.
|
Soluzione digitale
|
Riferimenti alle prescrizioni
|
Principali funzionalità prescritte
|
Organismo responsabile
|
Come si provvede all'accessibilità?
|
Come viene presa in considerazione l'esigenza della riutilizzabilità?
|
Uso di tecnologie di IA (se del caso)
|
|
Registro pubblico dell'Unione dei servizi di intermediazione dei dati e delle organizzazioni per l'altruismo dei dati
|
Inserimento dell'articolo 32 bis nel regolamento sui dati
|
Conservazione e pubblicazione delle informazioni obbligatorie
|
Commissione europea
|
//
|
//
|
N/P
|
|
Sportello unico (ai sensi del regolamento sui dati)
|
Articolo 1
Inserimento dell'articolo 32 novovicies nel regolamento sui dati
|
Informazioni da rendere disponibili e accessibili
Competente per il ricevimento delle richieste di informazioni o delle richieste di riutilizzo delle categorie di dati protetti
Trasmettere le richieste, ove possibile e opportuno con mezzi automatizzati, agli enti pubblici competenti
Mettere a disposizione per via elettronica un elenco consultabile delle risorse che comprende una panoramica di tutti i documenti disponibili
|
Commissione europea
|
Punto di accesso unico che offre un registro elettronico consultabile dei dati disponibili presso gli sportelli unici nazionali e ulteriori informazioni su come richiedere i dati tramite tali sportelli unici nazionali
|
Disponibilità per via elettronica di un elenco consultabile delle risorse che comprende una panoramica di tutti i dati disponibili [...] e delle condizioni per il loro riutilizzo.
|
N/P
|
|
Punto di accesso unico per le notifiche degli incidenti
|
Articolo 6
Inserimento dell'articolo 23 bis nella direttiva NIS 2
|
Consentire la segnalazione di incidenti a norma dei pertinenti atti a livello dell'Unione
Garantire l'interoperabilità e la compatibilità con i portafogli europei delle imprese
|
Commissione europea; ENISA
|
Interoperabilità e compatibilità con i portafogli europei delle imprese e i loro mezzi di accessibilità
|
Possibilità di provvedere alla segnalazione di incidenti a norma di diversi atti giuridici; possibilità di integrare in futuro ulteriori basi giuridiche nella soluzione del punto di accesso unico
|
N/P
|
Per ciascuna soluzione digitale, spiegare il modo in cui la soluzione digitale è conforme alle politiche digitali e agli atti legislativi applicabili
Registro pubblico dell'Unione dei servizi di intermediazione dei dati e delle organizzazioni per l'altruismo dei dati
|
Politica digitale e/o settoriale (se applicabili)
|
Spiegazione sull'allineamento della soluzione alla politica in questione
|
|
Regolamento sull'IA
|
N/P
|
|
Quadro dell'UE in materia di cibersicurezza
|
N/P
|
|
eIDAS
|
N/P
|
|
Sportello digitale unico e IMI
|
Modifica del regolamento (UE) 2018/1724 per aggiungere nell'allegato II le voci "Registrazione come fornitore di servizi di intermediazione dei dati" e "Registrazione come organizzazione per l'altruismo dei dati riconosciuta nell'Unione".
|
|
Altri
|
N/P
|
Sportello unico (ai sensi del regolamento sui dati)
|
Politica digitale e/o settoriale (se applicabili)
|
Spiegazione sull'allineamento della soluzione alla politica in questione
|
|
Regolamento sull'IA
|
N/P
|
|
Quadro dell'UE in materia di cibersicurezza
|
Gli enti pubblici possono prevedere l'obbligo di accedere ai dati o ai documenti e di riutilizzare gli stessi da remoto all'interno di un ambiente di trattamento sicuro, fornito o controllato dall'ente pubblico. In tali casi, gli enti pubblici impongono condizioni che preservino l'integrità del funzionamento dei sistemi tecnici dell'ambiente di trattamento sicuro utilizzato.
|
|
eIDAS
|
N/P
|
|
Sportello digitale unico e IMI
|
N/P
|
|
Altri
|
Lo sportello unico è conforme al regolamento (UE) 2016/679 (GDPR). Gli enti pubblici possono prevedere l'obbligo di concedere l'accesso per il riutilizzo di dati o documenti solo se questi sono stati anonimizzati e/o sottoposti ad altre forme di preparazione pertinenti. Inoltre, in caso di riutilizzo non autorizzato di dati non personali, il riutilizzatore è obbligato a informare le persone fisiche i cui diritti e interessi possono essere lesi.
|
Punto di accesso unico per le notifiche degli incidenti
|
Politica digitale e/o settoriale (se applicabili)
|
Spiegazione sull'allineamento della soluzione alla politica in questione
|
|
Regolamento sull'IA
|
N/P
|
|
Quadro dell'UE in materia di cibersicurezza
|
Nel quadro delle modifiche apportate alla direttiva NIS 2, l'attenzione è naturalmente rivolta alla cibersicurezza. Più in generale, il punto di accesso unico mira a fungere da gateway, convogliando tutte le segnalazioni di incidenti connessi alla cibersicurezza alle rispettive autorità competenti, a norma di diversi atti giuridici dell'Unione.
|
|
eIDAS
|
Il punto di accesso unico è obbligatorio anche per la segnalazione degli incidenti a norma del regolamento (UE) n. 910/2014 (regolamento eIDAS).
L'ENISA garantisce che il punto di accesso unico sia interoperabile e compatibile con i portafogli europei delle imprese e che questi ultimi possano essere utilizzati almeno per identificare e autenticare i soggetti che utilizzano il punto di accesso unico. L'iniziativa politica relativa al portafoglio europeo delle imprese si baserà sul quadro eIDAS.
|
|
Sportello digitale unico e IMI
|
N/P
|
|
Altri
|
La proposta ha tenuto conto dell'intero acquis digitale, comprese le politiche relative ai dati, alla cibersicurezza e alle telecomunicazioni.
|
4.4. Valutazione dell'interoperabilità
Descrizione ad alto livello dei servizi pubblici digitali interessati dalle prescrizioni
|
Servizio pubblico digitale o categoria di servizi pubblici digitali
|
Descrizione
|
Riferimenti alle prescrizioni
|
Soluzioni per un'Europa interoperabile
(NON APPLICABILE)
|
Altre soluzioni di interoperabilità
|
|
Infrastruttura europea per la governance e la trasparenza dei dati
|
Servizio pubblico digitale che prevede un'infrastruttura per la governance e la trasparenza dei dati e che si avvale, tra l'altro, di un registro pubblico dell'UE dei servizi di intermediazione dei dati e delle organizzazioni per l'altruismo dei dati e di uno sportello unico che permette ai riutilizzatori di trovare informazioni sul riutilizzo di determinate categorie di dati protetti.
Categoria di servizi pubblici digitali secondo la
COFOG
04.9.0 - Affari economici n.c.a. (CS)
|
Articolo 1
|
//
|
//
|
|
Segnalazione di incidenti
|
Servizio pubblico digitale che consente la segnalazione degli incidenti attraverso il punto di accesso unico.
Categoria di servizi pubblici digitali secondo la COFOG
03.6.0
Ordine pubblico e sicurezza n.c.a.
|
Articolo 6
|
//
|
Portafogli europei delle imprese
|
Effetto dei requisiti previsti dal servizio pubblico digitale sull'interoperabilità transfrontaliera
N.B.: nell'analisi che segue, i numeri degli articoli indicati nella sezione "Misure" fanno riferimento alla normativa o alle normative oggetto di modifica. La corrispondenza alle prescrizioni del pacchetto omnibus è indicata una volta, nella parte superiore di ogni cella.
Servizio pubblico digitale # 1 - Infrastruttura europea per la governance e la trasparenza dei dati
|
Valutazione
|
Misura/e
|
Possibili ostacoli residui (se del caso)
|
|
Allineamento con le politiche digitali e settoriali in vigore
Elencare le politiche digitali e settoriali pertinenti individuate
|
Articolo 1
L'allineamento alle politiche digitali e settoriali esistenti figura nei considerando del regolamento sulla governance dei dati.
Sportello digitale unico (regolamento (UE) 2018/1724) (considerando 56): le procedure di notifica per i servizi di intermediazione dei dati e le procedure di registrazione per le organizzazioni per l'altruismo dei dati devono essere messe a disposizione attraverso lo sportello digitale unico, garantendo un accesso online transfrontaliero.
Quadro europeo di interoperabilità (considerando 54): l'infrastruttura digitale deve rispettare i principi del quadro europeo di interoperabilità per garantire un utilizzo transfrontaliero e intersettoriale dei dati.
Elementi costitutivi del meccanismo per collegare l'Europa (infrastrutture di servizi digitali del meccanismo per collegare l'Europa) (considerando 54): Riferimento a "The Core Vocabularies and the CEF Building Blocks". Il servizio digitale dovrebbe sfruttare gli elementi costitutivi dell'MCE (quali l'eDelivery, l'eID, la firma elettronica) per l'attuazione tecnica.
Requisiti di accessibilità (direttive (UE) 2016/2102 e (UE) 2019/882) (considerando 62). Direttiva (UE) 2016/2102 (direttiva sull'accessibilità del web): i registri pubblici e i servizi digitali devono essere accessibili alle persone con disabilità; direttiva (UE) 2019/882 (atto europeo sull'accessibilità): i servizi digitali devono essere conformi ai requisiti di accessibilità.
GDPR (regolamento (UE) 2016/679) (considerando 4 e 35): tutti i servizi digitali che trattano dati personali devono rispettare le prescrizioni del GDPR in materia di protezione dei dati, vita privata e sicurezza.
Regolamento (UE) 2018/1725 (considerando 4): quando trattano i dati attraverso tali registri, le istituzioni dell'UE devono rispettare il presente regolamento.
Direttiva sull'apertura dei dati (direttiva (UE) 2019/1024) (considerando 6 e 10): "[l]a direttiva (UE) 2019/1024 e la normativa settoriale dell'Unione garantiscono che gli enti pubblici rendano facilmente disponibile per l'utilizzo e il riutilizzo una quota maggiore dei dati che producono": il servizio digitale integra la direttiva sull'apertura dei dati contemplando le categorie di dati protetti che non rientrano nel suo ambito di applicazione, garantendo nel contempo che gli enti pubblici seguano il principio dell'"apertura fin dalla progettazione e per impostazione predefinita", se del caso.
Politiche settoriali sugli spazi europei di dati e sui dati settoriali, tra cui lo spazio europeo dei dati sanitari, lo spazio europeo dei dati sulla mobilità, i dati sul Green Deal europeo/sul clima e sull'energia, i dati industriali e di fabbricazione, i dati sui servizi finanziari, i dati agricoli, lo spazio di dati della pubblica amministrazione e lo spazio di dati sulle competenze.
|
|
|
Misure organizzative per un'agevole prestazione dei servizi pubblici digitali transfrontalieri
Elencare le misure di governance previste
|
Articolo 1
Designazione e coordinamento dell'autorità competente
-Articolo 32 ter: ciascuno Stato membro designa una o più autorità competenti responsabili della registrazione dei fornitori di servizi di intermediazione dei dati e delle organizzazioni per l'altruismo dei dati. Tali autorità competenti mantengono la loro indipendenza da qualsiasi fornitore di servizi di intermediazione dei dati riconosciuto od organizzazione per l'altruismo dei dati riconosciuta.
Articolo 32 tricies: ciascuno Stato membro designa uno o più organismi competenti per assistere gli enti pubblici che concedono o rifiutano l'accesso per il riutilizzo di categorie di dati protetti.
Articolo 32 octies: le autorità competenti monitorano e controllano la conformità dei fornitori di servizi di intermediazione dei dati riconosciuti e delle organizzazioni per l'altruismo dei dati riconosciute alle disposizioni del regolamento sui dati.
Meccanismo relativo alla giurisdizione transfrontaliera
Articolo 32 sexies: i servizi di intermediazione dei dati rientrano nell'ambito di competenza dell'autorità competente dello Stato membro di stabilimento principale. Lo stesso principio si applica alle organizzazioni per l'altruismo dei dati.
Riconoscimento reciproco e registrazione unica
Articolo 32 sexies: la registrazione come servizio di intermediazione dei dati/organizzazione per l'altruismo dei dati è valida in tutti gli Stati membri.
Articolo 32 bis: utilizzo di disegni per i loghi comuni
Registri centralizzati a livello dell'UE per la raccolta e la trasparenza dei dati
Articolo 32 bis: registri pubblici dell'Unione di tutti i fornitori di servizi di intermediazione dei dati riconosciuti e di tutte le organizzazioni per l'altruismo dei dati.
Articolo 32 sexies: le autorità competenti notificano senza ritardo alla Commissione per via elettronica le nuove registrazioni, le modifiche e le cancellazioni e la Commissione aggiorna di conseguenza i registri dell'UE
Monitoraggio e coordinamento dell'applicazione
Autorità nazionali competenti
Comitato europeo per l'innovazione in materia di dati
Governance del trasferimento dei dati ai paesi terzi
Articolo 32 octovicies: requisiti per il trasferimento di dati non personali a paesi terzi da parte dei riutilizzatori.
Accordi di esclusiva
Articolo 32 duodecies: definisce l'ammissibilità di accordi di esclusiva relativi al riutilizzo di dati o documenti detenuti da enti pubblici. Chiede la trasparenza dei termini definitivi.
|
|
|
Misure per assicurare un'interpretazione univoca dei dati
Elencare tali misure
|
Articolo 1
Norme comuni e quadri interoperabili
-L'EDIB fornisce consulenza alla Commissione europea sulle attività di normazione da intraprendere in relazione agli aspetti intersettoriali della condivisione dei dati, anche per quanto riguarda l'emergere di spazi comuni europei di dati, considerando attività di normazione settoriali.
oArticolo 42: l'EDIB contribuisce all'adozione di orientamenti che stabiliscano quadri interoperabili e pratiche comuni per il funzionamento degli spazi comuni europei di dati.
-Logo comune per l'identificazione dei servizi di intermediazione dei dati e delle organizzazioni per l'altruismo dei dati.
-Articolo 32 octodecies: gli enti pubblici e le imprese pubbliche mettono a disposizione i propri dati o documenti, ove possibile e opportuno, per via elettronica, in formati aperti, leggibili da dispositivo automatico, accessibili, reperibili e riutilizzabili, insieme ai rispettivi metadati. Sia il formato che i metadati sono, ove possibile, conformi a standard formali aperti.
Altre misure pertinenti
-Articolo 32 unvicies: gli Stati membri, in cooperazione con la Commissione, continuano ad adoperarsi per semplificare l'accesso alle serie di dati, mettendo a disposizione serie di dati adeguate in formati accessibili, facilmente reperibili e riutilizzabili per via elettronica.
-Articolo 32 duovicies: gli Stati membri promuovono la disponibilità dei dati della ricerca in modo compatibile con i principi FAIR.
|
|
|
Uso di norme e specifiche tecniche aperte concordate
Elencare tali misure
|
Articolo 1
Misure relative ai dati leggibili da dispositivo automatico
-Articolo 32 bis: registro dell'Unione europea dei fornitori di servizi di intermediazione dei dati leggibile da dispositivo automatico.
-Articolo 32 bis: registro dell'Unione europea delle organizzazioni per l'altruismo dei dati leggibile da dispositivo automatico.
-Articolo 32 octodecies: gli enti pubblici metteranno a disposizione i loro dati/documenti, ove possibile, in formati aperti, leggibili da dispositivo automatico, accessibili, reperibili e riutilizzabili, insieme ai rispettivi metadati. Sia il formato che i metadati sono, ove possibile, conformi a standard formali aperti.
-Articolo 32 octodecies: le serie di dati di elevato valore sono messe a disposizione per il riutilizzo in formato leggibile da dispositivo automatico, tramite opportune API e, se del caso, come download in blocco.
-Articolo 32 unvicies: gli Stati membri adottano modalità pratiche per facilitare la ricerca dei dati o dei documenti disponibili per il riutilizzo, come elenchi dei dati o dei documenti più importanti, insieme ai rispettivi metadati, ove possibile e opportuno accessibili online e in formati leggibili da dispositivo automatico, e portali collegati agli elenchi di risorse. Ove possibile, gli Stati membri facilitano la ricerca interlinguistica dei dati o dei documenti.
-Articolo 32 quatervicies: specifiche serie di dati di elevato valore sono leggibili da dispositivo automatico. Gli atti di esecuzione possono specificare le modalità relative ai formati dei dati e dei metadati e le modalità tecniche di diffusione.
Misure di interazione tra macchine
-Articolo 32 untricies: rendere obbligatorio l'uso dello sportello unico. Lo sportello unico è competente per il ricevimento delle richieste di informazioni e delle richieste e le trasmette, ove possibile e opportuno con mezzi automatizzati, agli enti pubblici competenti o agli organismi competenti.
Altre misure pertinenti
-Articolo 48 bis: modifica dell'allegato II del regolamento (UE) 2018/1724 (sportello digitale unico). Valutate possibili sinergie.
-Considerando 52 del pacchetto omnibus: nella misura del possibile, l'ENISA dovrebbe tenere conto delle soluzioni tecniche esistenti a livello nazionale volte ad agevolare la segnalazione degli incidenti, come le piattaforme nazionali, nell'elaborazione delle specifiche relative alle misure tecniche, operative e organizzative riguardanti l'istituzione, la manutenzione e il funzionamento sicuro del punto di accesso unico. Inoltre l'ENISA dovrebbe prendere in considerazione protocolli e strumenti tecnici come le interfacce di programmazione delle applicazioni e le norme leggibili da dispositivo automatico che consentano ai soggetti di agevolare l'integrazione degli obblighi di segnalazione nei processi operativi e alle autorità di collegare il punto di accesso unico ai loro sistemi nazionali di segnalazione.
|
|
Servizio pubblico digitale # 2 - Segnalazione di incidenti
|
Valutazione
|
Misura/e
|
Possibili ostacoli residui (se del caso)
|
|
Allineamento con le politiche digitali e settoriali in vigore
Elencare le politiche digitali e settoriali pertinenti individuate
|
Articolo 6
L'allineamento generale alle politiche digitali e settoriali esistenti è garantito dalla direttiva (UE) 2022/2555 (NIS 2), modificata dal pacchetto omnibus digitale. Inoltre il pacchetto omnibus prevede di creare sinergie con il portafoglio europeo delle imprese e il regolamento (UE) 2024/2847 (regolamento sulla ciberresilienza). In particolare:
·l'articolo 23, paragrafo 4, impone l'uso del punto di accesso unico per le notifiche nel quadro della direttiva NIS 2;
·l'articolo 23, paragrafo 1, stabilisce che una notifica di incidente grave a norma dell'articolo 14, paragrafo 3, del regolamento (UE) 2024/2847 (regolamento sulla ciberresilienza) costituisce anche una segnalazione di informazioni a norma della direttiva (UE) 2022/2555 (NIS 2). Ciò è in linea con il principio "una tantum";
·l'articolo 23 bis, paragrafo 3, lettera d), stabilisce un collegamento con i portafogli europei delle imprese.
|
|
|
Misure organizzative per un'agevole prestazione dei servizi pubblici digitali transfrontalieri
Elencare le misure di governance previste
|
Articolo 6
L'articolo 23 bis definisce i ruoli e le responsabilità. In particolare, l'ENISA deve:
·istituire e mantenere un punto di accesso unico per garantire l'obbligo di segnalare incidenti ed eventi correlati a norma degli atti giuridici dell'Unione;
·adottare misure tecniche, operative e organizzative per gestire i rischi posti alla sicurezza del punto di accesso unico e alle informazioni trasmesse o diffuse. A tal fine consulta la Commissione, la rete di CSIRT e le pertinenti autorità competenti.
|
|
|
Misure per assicurare un'interpretazione univoca dei dati
Elencare tali misure
|
Articolo 6
L'articolo 23 bis incarica l'ENISA di elaborare specifiche che garantiscano la capacità necessaria per assicurare l'interoperabilità rispetto ad altri obblighi di segnalazione pertinenti.
N.B.: i requisiti in termini di contenuti per la segnalazione degli incidenti sono ulteriormente stabiliti nei pertinenti atti giuridici dell'Unione, compresa la direttiva (UE) 2022/2555 (NIS 2). L'articolo 23 bis, paragrafo 3, lettera c), del pacchetto omnibus chiarisce che l'ENISA deve garantire che tali requisiti siano tenuti in debita considerazione.
|
|
|
Uso di norme e specifiche tecniche aperte concordate
Elencare tali misure
|
Articolo 6
L'articolo 23 bis prevede l'elaborazione di specifiche.
·L'ENISA fornisce e attua le specifiche relative alle misure tecniche riguardanti l'istituzione, la manutenzione e il funzionamento sicuro del punto di accesso unico. Tali specifiche comprendono, tra l'altro:
ola necessaria capacità di garantire l'interoperabilità rispetto ad altri obblighi di segnalazione pertinenti;
ole modalità tecniche che consentono ai soggetti e alle autorità pertinenti di accedere alle informazioni dal punto di accesso unico, nonché di presentarle, recuperarle, trasmetterle o trattarle, nonché i protocolli e gli strumenti tecnici che permettono ai soggetti e alle autorità di trattare ulteriormente le informazioni ricevute nell'ambito dei loro sistemi.
·Se disponibile, il punto di accesso unico è interoperabile e compatibile con i portafogli europei delle imprese.
|
|
4.5. Misure a sostegno dell'attuazione digitale
Descrizione ad alto livello delle misure a sostegno dell'attuazione digitale
|
Descrizione della misura
|
Riferimenti alle prescrizioni
|
Ruolo della Commissione
(se applicabile)
|
Chi deve essere coinvolto
(se applicabile)
|
Calendario previsto
(se applicabile)
|
|
Atto di esecuzione: disegno del logo comune per i fornitori di servizi di intermediazione dei dati
|
Articolo 1
|
Definire le caratteristiche del logo comune, tra cui il disegno e le modalità d'uso.
|
Comitato per la procedura d'esame
|
//
|
|
Atto di esecuzione: disegno del logo comune per le organizzazioni per l'altruismo dei dati riconosciute
|
Articolo 1
|
Definire le caratteristiche del logo comune, tra cui il disegno e le modalità d'uso.
|
Comitato per la procedura d'esame
|
//
|
|
Monitoraggio e conformità: le autorità competenti possono monitorare la conformità di propria iniziativa o su richiesta di persone fisiche o giuridiche
|
Articolo 1
|
//
|
Autorità competenti, servizi di intermediazione dei dati, organizzazioni per l'altruismo dei dati
|
//
|
|
Atto di esecuzione: specifiche serie di dati di elevato valore
|
Articolo 1
|
Stabilire un elenco di specifiche serie di dati di elevato valore. Può specificare le modalità di pubblicazione e riutilizzo delle serie di dati di elevato valore.
|
Comitato per la procedura d'esame
|
//
|
|
Orientamenti:
·l'EDIB fornisce consulenza sugli orientamenti riguardanti gli spazi comuni europei di dati;
·l'EDIB adotta orientamenti sui quadri interoperabili
|
Articolo 1
|
Sostegno dall'EDIB
|
EDIB
|
//
|
|
Atto di esecuzione: modello comune per la notifica di una violazione dei dati personali
|
Articolo 3
|
Adottare un modello comune sulla base della proposta dell'EDPB.
|
Comitato per la procedura d'esame
|
//
|
|
Atto delegato: indicazioni automatizzate e leggibili da dispositivo automatico delle scelte dell'interessato
|
Articolo 3
|
Stabilire obblighi per i browser web e i fornitori di apparecchiature terminali
|
Comitato per la procedura d'esame
|
//
|
|
Atto di esecuzione: Notifiche di incidenti a norma della direttiva CER
|
Articolo 9
|
Specificare ulteriormente il tipo e il formato delle informazioni notificate a norma dell'articolo 15, paragrafo 1, della direttiva (UE) 2022/2557 (CER).
|
//
|
//
|