RELAZIONE

1.CONTESTO DELLA PROPOSTA

•Motivi e obiettivi della proposta

La presente relazione accompagna la proposta di regolamento riguardante norme armonizzate sull'accesso equo ai dati e sul relativo utilizzo (normativa sui dati).

I dati sono una componente fondamentale dell'economia digitale e una risorsa essenziale per garantire le transizioni verde e digitale. Negli ultimi anni il volume di dati generato dagli esseri umani e dalle macchine è aumentato in modo esponenziale, ma la maggior parte di tali dati è inutilizzata, o il loro valore è concentrato nelle mani di un numero relativamente limitato di grandi società. Scarsa fiducia, incentivi economici contrastanti e ostacoli tecnologici impediscono di concretizzare appieno le potenzialità offerte dall'innovazione basata sui dati. È quindi essenziale sfruttare tali potenzialità fornendo opportunità di riutilizzo dei dati e rimuovendo gli ostacoli allo sviluppo dell'economia dei dati europea, nel pieno rispetto delle norme e dei valori europei, e in linea con l'impegno di ridurre il divario digitale in modo che tutti possano beneficiare di tali opportunità. Garantire un maggiore equilibrio nella distribuzione del valore dei dati al ritmo della nuova ondata di dati industriali non personali e della proliferazione di prodotti connessi all'internet delle cose significa avere enormi possibilità di stimolare un'economia dei dati sostenibile in Europa.

Per cogliere le opportunità offerte dall'era digitale attuale, un prerequisito fondamentale è la regolamentazione dell'accesso ai dati e del relativo utilizzo. Negli orientamenti politici per la Commissione 2019-2024, la presidente della Commissione, Ursula von der Leyen, ha affermato che l'Europa deve "equilibrare il flusso e l'ampio uso dei dati tutelando al contempo alti livelli di privacy, sicurezza, protezione e norme etiche" 1 . Il programma di lavoro della Commissione per il 2020 2 ha stabilito diversi obiettivi strategici, tra cui la strategia europea in materia di dati 3 , adottata nel febbraio 2020, che mira a creare un mercato unico dei dati autentico e a fare dell'UE un leader mondiale dell'economia agile basata sui dati. Per questo motivo la normativa sui dati è un pilastro fondamentale e la seconda iniziativa più importante annunciata nella strategia in materia di dati. La normativa contribuisce in particolare alla creazione di un quadro di governance intersettoriale per l'accesso ai dati e il relativo utilizzo, disciplinando materie che riguardano le relazioni tra gli operatori dell'economia dei dati, al fine di fornire incentivi per la condivisione orizzontale dei dati tra i vari settori.

Nelle sue conclusioni del 21 e 22 ottobre 2021, il Consiglio europeo ha sottolineato "l'importanza di compiere rapidi progressi in relazione a iniziative esistenti e future, in particolare: valorizzare i dati in Europa, in particolare attraverso un quadro normativo globale che favorisca l'innovazione, agevoli una migliore portabilità dei dati nonché un accesso equo agli stessi e garantisca l'interoperabilità" 4 . Il 25 marzo 2021 il Consiglio europeo ha ribadito l'importanza di sfruttare meglio il potenziale dei dati e delle tecnologie digitali a vantaggio della società e dell'economia 5 . Nella riunione straordinaria del 1º e del 2 ottobre 2020 ha sottolineato "la necessità di rendere più facilmente accessibili dati di elevata qualità e di promuovere e consentire una migliore condivisione e messa in comune dei dati, nonché l'interoperabilità" 6 . Per quanto riguarda i servizi cloud, il 15 ottobre 2020 gli Stati membri dell'UE hanno adottato all'unanimità una dichiarazione congiunta sulla creazione del cloud di prossima generazione per le imprese e il settore pubblico nell'UE. A tal fine sarebbe necessaria un'offerta di servizi cloud dell'UE di prossima generazione che raggiunga, ad esempio, gli standard più elevati quanto a portabilità e interoperabilità 7 .

Nella sua risoluzione del 25 marzo 2021 su una strategia europea per i dati, il Parlamento europeo ha esortato la Commissione a presentare una legge sui dati per incoraggiare e consentire in tutti i settori un flusso di dati più ampio ed equo, da impresa a impresa, dall'impresa alla pubblica amministrazione, dalla pubblica amministrazione all'impresa e da pubblica amministrazione a pubblica amministrazione 8 . Nella medesima risoluzione il Parlamento europeo ha inoltre posto l'accento sulla necessità di creare spazi comuni europei di dati al fine della libera circolazione dei dati non personali attraverso le frontiere e i settori e tra le imprese, il mondo accademico, i portatori di interessi pertinenti e il settore pubblico. In quest'ottica, ha esortato la Commissione a chiarire i diritti di utilizzo, in particolare in contesti da impresa a impresa e da impresa a pubblica amministrazione. Ha sottolineato che gli squilibri di mercato derivanti dalla concentrazione dei dati limitano la concorrenza, aumentano le barriere di ingresso al mercato e riducono un più ampio accesso ai dati e il loro utilizzo.

Nella sua risoluzione il Parlamento europeo ha inoltre posto in evidenza che gli accordi contrattuali in contesti da impresa a impresa non garantiscono necessariamente alle PMI un accesso adeguato ai dati, a causa delle asimmetrie nel potere negoziale o nelle conoscenze. Il Parlamento europeo ha pertanto sottolineato la necessità che i contratti stabiliscano obblighi e responsabilità chiari relativamente all'accesso, al trattamento, alla condivisione e all'archiviazione dei dati, al fine di limitarne l'uso improprio.

Il Parlamento europeo ha di conseguenza invitato la Commissione e gli Stati membri dell'UE ad analizzare i diritti e gli obblighi degli operatori relativamente all'accesso ai dati che hanno contribuito a generare e a migliorare la loro consapevolezza, in particolare per quanto concerne il diritto di accesso ai dati, il diritto di portabilità nonché il diritto di chiedere ad un'altra parte di cessare l'utilizzo dei suddetti dati, di correggerli o cancellarli, identificando nel contempo i titolari e definendo la natura di tali diritti.

Per quanto riguarda la condivisione dei dati tra impresa e pubblica amministrazione, il Parlamento europeo ha invitato la Commissione a definire le circostanze, le condizioni e gli incentivi in base a cui il settore privato dovrebbe essere obbligato a condividere i dati con il settore pubblico, per esempio in ragione della necessità di tali dati per l'organizzazione di servizi pubblici basati sui dati, e ad esaminare anche i regimi di condivisione obbligatoria di dati tra impresa e pubblica amministrazione, per esempio in casi di forza maggiore.

In tale contesto, la Commissione presenta una proposta di normativa sui dati con l'intento di garantire un'equa ripartizione del valore dei dati tra gli operatori dell'economia dei dati e di promuovere l'accesso ai dati e il relativo utilizzo.

La proposta contribuirà a conseguire i seguenti obiettivi strategici più ampi: garantire che le imprese dell'UE in tutti i settori siano in grado di innovare ed essere competitive, dotare i cittadini degli strumenti necessari per gestire efficacemente i propri dati e fornire alle imprese e agli enti pubblici un meccanismo proporzionato e prevedibile per affrontare le principali sfide strategiche e sociali, comprese le emergenze pubbliche e altre situazioni eccezionali. Le imprese potranno facilmente trasferire i propri dati e altre risorse digitali da un fornitore di servizi cloud e di altri servizi di trattamento dei dati ad altri suoi concorrenti. La condivisione dei dati nell'ambito di un settore dell'economia e tra un settore e l'altro richiede un quadro di misure procedurali e legislative in materia di interoperabilità che rafforzi la fiducia e migliori l'efficienza. La creazione di spazi comuni europei di dati per i settori strategici dell'economia e i settori di interesse pubblico contribuirà a creare un autentico mercato interno dei dati che consentirà la condivisione e l'utilizzo dei dati in tutti i settori. Il presente regolamento contribuisce sia a tali quadri e infrastrutture di governance sia alla condivisione dei dati al di fuori degli spazi di dati.

Di seguito sono sintetizzati gli obiettivi specifici della proposta.

–Facilitare l'accesso ai dati e il relativo utilizzo da parte dei consumatori e delle imprese, preservando nel contempo gli incentivi a investire in modalità di generazione del valore grazie ai dati. A tal fine sono necessari tra l'altro maggiore certezza del diritto in merito alla condivisione dei dati ottenuti o generati dall'uso di prodotti o di servizi correlati, e l'attuazione di norme che garantiscano l'equità nei contratti di condivisione dei dati. La proposta chiarisce l'applicazione alle sue disposizioni dei diritti pertinenti previsti dalla direttiva 96/9/CE relativa alla tutela giuridica delle banche di dati (direttiva sulle banche di dati 9 ).

–Prevedere che enti pubblici e istituzioni, agenzie o organismi dell'Unione possano utilizzare i dati detenuti dalle imprese in determinate situazioni in cui vi sia una necessità eccezionale di dati. Ciò riguarda principalmente le emergenze pubbliche, ma anche altre situazioni eccezionali in cui la condivisione obbligatoria dei dati tra imprese e pubbliche amministrazioni è giustificata al fine di sostenere politiche e servizi pubblici basati su dati concreti, efficaci, efficienti e orientati ai risultati.

–Facilitare il passaggio tra diversi servizi cloud ed edge. L'accesso a servizi di trattamento dei dati competitivi e interoperabili è una condizione preliminare per una economia dei dati fiorente, in cui i dati possano essere facilmente condivisi all'interno degli ecosistemi settoriali e tra di essi. Il livello di fiducia nei servizi di trattamento dei dati determina la diffusione di tali servizi tra gli utenti in tutti i settori dell'economia.

–Adottare garanzie contro il trasferimento illecito di dati senza notifica da parte dei fornitori di servizi cloud. Tale obiettivo deriva dal fatto che sono state espresse preoccupazioni in merito all'accesso illecito ai dati da parte di amministrazioni pubbliche di paesi terzi/esterni allo Spazio economico europeo (SEE). Simili garanzie dovrebbero rafforzare ulteriormente la fiducia nei servizi di trattamento dei dati che sono sempre più fondamentali per l'economia europea dei dati.

–Prevedere l'elaborazione di norme di interoperabilità per il riutilizzo dei dati tra i vari settori, nel tentativo di eliminare gli ostacoli alla condivisione dei dati tra spazi comuni europei di dati specifici per settore, coerentemente con le prescrizioni di interoperabilità settoriali, e tra altri dati che non rientrano nell'ambito di uno spazio comune europeo dei dati specifico. La proposta sostiene inoltre la definizione di norme per i "contratti intelligenti", ossia programmi informatici su registri elettronici che eseguono e regolano transazioni sulla base di condizioni prestabilite. Tali programmi possono potenzialmente fornire ai titolari e ai destinatari dei dati garanzie del rispetto delle condizioni per la condivisione dei dati.

•Coerenza con le disposizioni vigenti nel settore normativo interessato

La presente proposta è coerente con le norme vigenti in materia di trattamento dei dati personali (compreso il regolamento generale sulla protezione dei dati, GDPR 10 ), di tutela della vita privata e della riservatezza delle comunicazioni e di qualsiasi dato (personale e non) conservato in apparecchiature terminali e consultato da tali apparecchiature (direttiva relativa alla vita privata e alle comunicazioni elettroniche 11 , che sarà sostituita dal regolamento sulla vita privata e le comunicazioni elettroniche, attualmente oggetto di negoziati legislativi). La presente proposta integra diritti già esistenti, in particolare quelli relativi ai dati generati dal prodotto di un utente collegato a una rete di comunicazione elettronica accessibile al pubblico.

Il regolamento sulla libera circolazione dei dati non personali 12 ha introdotto un elemento fondamentale dell'economia europea dei dati, garantendo la possibilità di archiviare, trattare e trasferire dati non personali ovunque nell'Unione. Ha inoltre presentato un approccio di autoregolamentazione al problema del "vendor lock-in" a livello dei fornitori di servizi di trattamento dei dati, introducendo codici di condotta per facilitare il passaggio dei dati tra servizi cloud (codici di condotta "Switching Cloud Providers and Porting Data (SWIPO)" elaborati dal settore). La presente proposta si basa su tale approccio, integrandolo e aiutando le imprese e i cittadini a usufruire nel migliore dei modi del diritto al passaggio ad altri fornitori di servizi cloud e del diritto alla portabilità dei dati. È inoltre pienamente coerente con la direttiva concernente le clausole abusive nei contratti per quanto riguarda il diritto contrattuale 13 . Rispetto ai servizi cloud, poiché l'approccio di autoregolamentazione non sembra aver inciso in modo significativo sulle dinamiche del mercato, la presente proposta prevede un approccio normativo al problema evidenziato nel regolamento sulla libera circolazione dei dati non personali.

Il trattamento, l'archiviazione e il trasferimento dei dati a livello internazionale sono aspetti disciplinati dal GDPR, dagli impegni commerciali dell'Organizzazione mondiale del commercio (OMC), dall'accordo generale sugli scambi di servizi (GATS) e dagli accordi commerciali bilaterali.

Il diritto della concorrenza 14 è applicabile, tra l'altro, nel contesto del controllo delle concentrazioni, della condivisione dei dati da parte delle imprese o dell'abuso di posizione dominante di un'impresa.

La direttiva sulle banche di dati 15 prevede l'applicazione del diritto "sui generis" per la tutela delle banche di dati create a seguito di un investimento rilevante, anche se la banca dati stessa non è una creazione intellettuale originale tutelata dal diritto d'autore. Sulla base della considerevole giurisprudenza che interpreta le disposizioni della direttiva sulle banche di dati, la presente proposta affronta le attuali incertezze giuridiche in merito al diritto a tale protezione delle banche dati contenenti dati generati o ottenuti mediante l'uso di prodotti o servizi correlati, quali sensori, o altri tipi di dati generati automaticamente.

Il regolamento sulle relazioni piattaforme/imprese 16 impone obblighi di trasparenza, imponendo alle piattaforme di fornire agli utenti commerciali una descrizione dei dati generati dalla fornitura del servizio.

La direttiva sull'apertura dei dati 17 stabilisce norme minime sul riutilizzo dei dati detenuti dal settore pubblico e dei dati della ricerca finanziati con fondi pubblici messi a disposizione del pubblico tramite banche dati.

L'iniziativa sull'interoperabilità a livello europeo mira a introdurre una politica di interoperabilità cooperativa per un settore pubblico modernizzato. L'iniziativa è nata dal programma ISA2, un programma di finanziamento dell'Unione che si è svolto dal 2016 al 2021 e ha sostenuto lo sviluppo di soluzioni digitali per consentire l'interoperabilità dei servizi pubblici transfrontalieri e intersettoriali 18 .

La presente proposta integra l'atto sulla governance dei dati adottato di recente, che mira a facilitare la condivisione volontaria dei dati da parte di singoli individui e imprese e armonizza le condizioni per l'utilizzo di determinati dati del settore pubblico, senza modificare i diritti materiali sui dati o i diritti già stabiliti relativi al relativo accesso e utilizzo 19 . Integra inoltre la proposta di legge sui mercati digitali, che imporrà a determinati fornitori di servizi di piattaforma di base identificati come "gatekeeper" di garantire, tra l'altro, una portabilità più efficace dei dati generati mediante le attività di utenti commerciali o utenti finali 20 .

La presente proposta non pregiudica le norme vigenti in materia di proprietà intellettuale (ad eccezione dell'applicazione del diritto "sui generis" di cui alla direttiva sulle banche di dati), di concorrenza, di giustizia, di affari interni e di cooperazione (internazionale), di obblighi commerciali o di protezione giuridica dei segreti commerciali.

Per promuovere la transizione digitale sono necessari adeguamenti legislativi in diversi settori. Nell'ambito del passaporto digitale europeo dei prodotti (che fa parte dell'iniziativa sui prodotti sostenibili) saranno stabilite norme chiare sull'accesso a dati specifici necessari in situazioni non eccezionali e per la circolarità e la sostenibilità di determinati prodotti durante tutto il loro ciclo di vita 21 . Le norme di diritto privato sono un elemento chiave del quadro generale. Il presente regolamento adegua pertanto il diritto contrattuale e altre norme per migliorare le condizioni riguardanti il riutilizzo dei dati nel mercato interno e per evitare che le parti contraenti abusino degli squilibri nel potere negoziale a scapito delle parti più deboli.

In quanto proposta orizzontale, la normativa sui dati prevede norme di base per tutti i settori per quanto riguarda i diritti di utilizzo dei dati, ad esempio nei settori dei macchinari intelligenti o dei beni di consumo. Tuttavia i diritti e gli obblighi in materia di accesso ai dati e relativo utilizzo sono stati disciplinati in misura diversa anche a livello settoriale. La normativa sui dati non modificherà la legislazione vigente, ma le future normative riguardanti tali ambiti dovrebbero in linea di principio essere conformi ai principi orizzontali che essa stabilisce. La convergenza con le norme orizzontali della normativa sui dati dovrebbe essere valutata in sede di riesame degli strumenti settoriali. La presente proposta lascia spazio alla legislazione verticale, cosicché possano essere stabilite norme più dettagliate per il conseguimento di obiettivi normativi specifici per settore.

Data la normativa settoriale vigente, per quanto riguarda la creazione dello spazio di dati sul Green Deal, il riesame 22 della direttiva Inspire 23 consentirà di garantire ulteriormente la libera disponibilità e il riutilizzo di dati territoriali e ambientali. Lo scopo dell'iniziativa è fare in modo che per le autorità pubbliche, le imprese e i cittadini dell'UE sia più semplice sostenere la transizione verso un'economia più verde e neutra in termini di emissioni di carbonio e ridurre gli oneri amministrativi. L'iniziativa dovrebbe sostenere servizi di dati riutilizzabili su larga scala per contribuire alla raccolta, alla condivisione, al trattamento e all'analisi di grandi volumi di dati utili al fine di garantire la conformità alla legislazione ambientale e alle azioni prioritarie fissate nel Green Deal europeo. Essa razionalizzerà la presentazione delle relazioni e ridurrà gli oneri mediante un migliore riutilizzo dei dati esistenti, la generazione automatica delle relazioni attraverso l'estrazione di dati e l'intelligence aziendale.

Il regolamento dell'UE sull'energia elettrica 24 impone ai gestori dei sistemi di trasmissione di fornire dati alle autorità di regolamentazione e ai fini della pianificazione dell'adeguatezza delle risorse, mentre la direttiva sull'energia elettrica 25 prevede un accesso trasparente e non discriminatorio ai dati e incarica la Commissione di determinare i relativi requisiti di interoperabilità e le procedure per facilitare tale accesso. La seconda direttiva relativa ai servizi di pagamento 26 prevede che alcuni tipi di informazioni sulle operazioni di pagamento e sui conti abbiano, a determinate condizioni, un formato aperto consentendo in tal modo la condivisione dei dati tra imprese nell'ambito della tecnologia finanziaria. Nel settore della mobilità e dei trasporti esiste un'ampia gamma di norme in materia di accesso ai dati e della relativa condivisione. Le informazioni sulla riparazione e la manutenzione dei veicoli a motore e delle macchine agricole sono soggette a obblighi specifici in materia di accesso/condivisione dei dati in virtù della legislazione in materia di omologazione 27 . Nuove norme sono tuttavia necessarie per garantire che tale legislazione vigente sia adeguata all'era digitale e promuova lo sviluppo di veicoli puliti, connessi e automatizzati. La normativa sui dati costituisce il quadro di riferimento per l'accesso ai dati e il relativo utilizzo, in base al quale tali norme affronteranno sfide settoriali specifiche, tra cui l'accesso alle funzioni e alle risorse dei veicoli.

Nel quadro della direttiva sui sistemi di trasporto intelligenti 28 sono stati elaborati diversi regolamenti delegati ed altri ne seguiranno, in particolare per specificare l'accessibilità dei dati per il trasporto stradale e multimodale di passeggeri, nello specifico attraverso i punti di accesso nazionali. Nella gestione del traffico aereo, i dati non operativi sono importanti per migliorare l'intermodalità e la connettività. I dati operativi relativi alla gestione del traffico aereo rientrerebbero nel regime specifico definito nel quadro del cielo unico europeo 29 . Nel monitoraggio del traffico navale, i dati relativi alle navi (localizzazione e monitoraggio) sono importanti per migliorare l'intermodalità e la connettività: tali dati rientrano nel regime specifico definito nella direttiva sul sistema di monitoraggio del traffico navale e d'informazione 30 e nell'ambito del sistema e dei servizi marittimi digitali 31 . La proposta di regolamento sulla realizzazione di un'infrastruttura per i combustibili alternativi 32 specifica i tipi di dati pertinenti da rendere disponibili, in sinergia con il quadro generale stabilito nella direttiva sui sistemi di trasporto intelligenti.

•Coerenza con le altre normative dell'Unione

La presente proposta è coerente con le priorità della Commissione di preparare l'Europa per l'era digitale e costruire un'economia pronta per il futuro al servizio delle persone 33 , in cui la digitalizzazione del mercato interno sia caratterizzata da un elevato grado di fiducia, sicurezza, protezione e scelta per i consumatori. La digitalizzazione del mercato interno è altamente competitiva grazie a un quadro che favorisce la trasparenza, la concorrenza e l'innovazione e che è tecnologicamente neutro. Sostiene il dispositivo per la ripresa e la resilienza 34 sulla scia dell'esperienza acquisita durante la pandemia di COVID-19 e dei vantaggi generati dalla presenza, ove necessario, di dati più facilmente accessibili.

La presente proposta sostiene in vari modi il ruolo essenziale dei dati nel conseguimento degli obiettivi del Green Deal europeo. In primo luogo offre ad amministrazioni, imprese e cittadini una maggiore comprensione degli effetti che prodotti, servizi e materiali hanno sulla società e sull'economia in tutte le catene di approvvigionamento. In secondo luogo mobilita l'attuale patrimonio di dati pertinenti del settore privato per affrontare le questioni legate al clima, alla biodiversità, all'inquinamento 35 e alle risorse naturali, in conformità degli obiettivi del Green Deal europeo 36 , delle conclusioni del Consiglio 37 e delle risoluzioni del Parlamento europeo 38 in materia. In terzo luogo colma le lacune in termini di conoscenze e contribuisce a gestire le relative crisi attraverso azioni di mitigazione, preparazione, risposta e ripresa più efficaci.

In linea con la strategia industriale 39 la proposta riguarda tecnologie altamente strategiche quali il cloud computing e i sistemi di intelligenza artificiale, settori il cui pieno potenziale non è ancora stato sfruttato dall'UE, all'alba della prossima ondata di dati industriali. Essa attua l'obiettivo della strategia per i dati 40 di far sì che le imprese siano maggiormente in grado di innovare e di essere competitive sulla base dei valori dell'UE, e il principio della libera circolazione dei dati nel mercato interno. La proposta è inoltre coerente con il piano d'azione sulla proprietà intellettuale 41 in cui la Commissione si è impegnata a riesaminare la direttiva sulle banche di dati.

La presente proposta dovrebbe inoltre rispettare i principi del piano d'azione sul pilastro europeo dei diritti sociali 42 e i requisiti di accessibilità della direttiva (UE) 2019/882 sui requisiti di accessibilità dei prodotti e dei servizi 43 .

2.BASE GIURIDICA, SUSSIDIARIETÀ E PROPORZIONALITÀ

•Base giuridica

La base giuridica della presente proposta è l'articolo 114 del trattato sul funzionamento dell'Unione europea, il cui obiettivo è l'instaurazione e il funzionamento del mercato interno mediante il rafforzamento delle misure relative al ravvicinamento delle normative nazionali.

La presente proposta è intesa a promuovere il completamento del mercato interno dei dati in cui i dati del settore pubblico, delle imprese e dei cittadini siano utilizzati nel miglior modo possibile, nel rispetto dei diritti relativi a tali dati e degli investimenti effettuati per la loro raccolta. Le disposizioni sul passaggio tra servizi di trattamento dei dati mirano a creare condizioni di mercato eque e competitive per il mercato interno nell'ambito dei servizi cloud ed edge e dei servizi correlati.

La protezione dei dati commerciali riservati e dei segreti commerciali è un aspetto importante del buon funzionamento del mercato interno, come lo è per altri contesti in cui avviene uno scambio di merci e servizi. La presente proposta garantisce il rispetto dei segreti commerciali nel contesto dell'utilizzo dei dati tra imprese o da parte dei consumatori. L'iniziativa consentirà all'Unione di beneficiare delle dimensioni del mercato interno, dal momento che i prodotti o i servizi correlati sono spesso sviluppati utilizzando dati provenienti da Stati membri differenti e successivamente commercializzati in tutta l'Unione.

Alcuni Stati membri, al contrario di altri, hanno adottato misure legislative per affrontare i problemi descritti in precedenza in contesti da impresa a impresa e da impresa a pubbliche amministrazioni. Ciò può comportare una frammentazione legislativa nel mercato interno e di conseguenza norme e pratiche differenti nell'Unione, nonché generare costi per le imprese che dovrebbero conformarsi a regimi diversi. Per questo è importante garantire che le misure proposte siano applicate in modo coerente in tutti gli Stati membri.

•Sussidiarietà (per la competenza non esclusiva)

Data la natura transfrontaliera dell'utilizzo dei dati e i numerosi settori su cui incide la normativa sui dati, le questioni trattate nella presente proposta non possono essere affrontate efficacemente a livello degli Stati membri. È necessario evitare la frammentazione derivante dalle differenze tra le norme nazionali, che comporterebbe costi di transazione più elevati, mancanza di trasparenza, incertezza giuridica e la ricerca del foro più vantaggioso. Ciò è particolarmente importante in tutte le situazioni riguardanti gli aspetti dei dati nelle relazioni tra imprese che richiedono l'omogeneità del quadro giuridico in tutta l'Unione, come ad esempio l'esistenza di clausole contrattuali eque e di obblighi per i fabbricanti di prodotti o per i fornitori di servizi correlati legati all'internet delle cose.

Anche una valutazione degli aspetti transfrontalieri dei flussi di dati da impresa a pubblica amministrazione dimostra la necessità di agire a livello dell'Unione. Molti operatori privati che detengono dati pertinenti sono imprese multinazionali che non dovrebbero trovarsi ad operare in un regime giuridico frammentato.

I servizi di cloud computing sono raramente offerti in un solo Stato membro. Conformemente al GDPR e al regolamento sulla libera circolazione dei dati non personali, che consentono ai consumatori e alle imprese di trattare dati personali e non personali ovunque desiderino nell'Unione, il trattamento transfrontaliero dei dati nell'Unione è essenziale per svolgere attività commerciali nel mercato interno. Per questo è fondamentale che le disposizioni che disciplinano il passaggio tra servizi di trattamento dei dati siano applicate a livello dell'Unione, in modo da evitare una dannosa frammentazione in un mercato dei servizi di trattamento dei dati altrimenti unificato.

Solo un'azione comune a livello dell'Unione può permettere il conseguimento degli obiettivi stabiliti nella presente proposta, tra cui la creazione di un contesto innovativo e competitivo a parità di condizioni per le imprese incentrate sui dati e la responsabilizzazione dei cittadini. Questa azione comune rappresenta un chiaro passo avanti nella realizzazione del progetto di creare un vero e proprio mercato interno dei dati.

•Proporzionalità

La presente proposta concilia i diritti e gli interessi dei portatori di interessi coinvolti con l'obiettivo generale di favorire un utilizzo più ampio dei dati da parte di una vasta serie di operatori e crea un quadro favorevole che si limita a quanto è necessario per conseguire gli obiettivi. Affronta inoltre gli ostacoli esistenti che si frappongono alla piena realizzazione del valore potenziale dei dati tra le imprese, i consumatori e il settore pubblico, e definisce un quadro per le future norme settoriali al fine di evitare la frammentazione e l'incertezza giuridica. La proposta chiarisce i diritti esistenti e, se necessario, conferisce diritti di accesso ai dati, contribuendo in tal modo allo sviluppo di un mercato interno per la condivisione dei dati. L'iniziativa consente una notevole flessibilità di applicazione a livello settoriale.

La presente proposta comporterà costi finanziari e amministrativi che saranno principalmente a carico delle autorità nazionali, dei fabbricanti e dei fornitori di servizi al fine di rispettare gli obblighi stabiliti dal regolamento. Il vaglio di diverse opzioni, come pure dei relativi costi e benefici previsti, ha comunque consentito di concepire l'atto giuridico in modo equilibrato. Analogamente, le spese a carico degli utenti e dei titolari dei dati saranno compensate dal valore derivante da un più ampio accesso ai dati e da un relativo maggiore utilizzo, nonché dalla diffusione sul mercato di nuovi servizi.

•Scelta dell'atto giuridico

Si è scelto di ricorrere a un regolamento perché si tratta dello strumento migliore per conseguire gli obiettivi strategici più ampi di garantire che tutte le imprese dell'Unione siano in grado di innovare ed essere competitive, che i consumatori siano maggiormente capaci di esercitare un controllo sui loro dati e che le istituzioni, le agenzie e gli organismi dell'Unione siano meglio attrezzati per affrontare le principali sfide strategiche, comprese le emergenze pubbliche. Un regolamento è necessario nell'ottica dell'obiettivo perseguito dalla proposta di raggiungere una completa armonizzazione, al fine di garantire la certezza del diritto e la trasparenza per gli operatori economici, tra cui le microimprese e le piccole e medie imprese, e di offrire alle persone fisiche e giuridiche in tutti gli Stati membri lo stesso livello di diritti e obblighi giuridicamente applicabili onde garantire un'applicazione coerente in tutti gli Stati membri e un'efficace cooperazione tra le autorità competenti dei diversi Stati membri.

La proposta rafforzerà il mercato interno dei dati aumentando la certezza del diritto e garantendo un quadro giuridico uniforme, orizzontale e coerente.

3.RISULTATI DELLE VALUTAZIONI EX POST, DELLE CONSULTAZIONI DEI PORTATORI DI INTERESSI E DELLE VALUTAZIONI D'IMPATTO

•Valutazioni ex post / Vaglio di adeguatezza della legislazione vigente

La presente proposta si basa in parte sull'ultima valutazione della direttiva sulle banche di dati e sullo studio della Commissione a sostegno del riesame della direttiva 44 . La direttiva sulle banche di dati ha introdotto, tra l'altro, un diritto "sui generis" specifico a proteggere la banca dati se il suo costitutore ha effettuato un investimento sostanziale per ottenere, verificare e presentare i dati. Dalla sua prima adozione, la direttiva è stata valutata due volte. Entrambe le valutazioni sono state integrate da comunicazioni della Commissione riguardanti la politica relativa all'economia dei dati 45 .

La Corte di giustizia dell'Unione europea ha fornito un'interpretazione più restrittiva della nozione di "investimenti sostanziali" in una banca dati, chiarendo che il diritto "sui generis" mira a tutelare gli investimenti nella raccolta e non nella creazione di dati 46 come sottoprodotto di un'altra attività economica. Permane tuttavia qualche incertezza in merito all'applicazione accidentale o involontaria del diritto "sui generis" alle banche dati contenenti dati generati automaticamente, ossia dati ottenuti o generati dall'uso di prodotti o di servizi correlati. È necessario trovare un equilibrio tra gli obiettivi strategici della protezione della proprietà intellettuale di tali banche dati nel contesto dell'economia dei dati, in cui l'esclusività dei dati in quanto bene non rivale è generalmente considerata un ostacolo all'innovazione. Per garantire la coerenza con gli interventi normativi qui proposti, l'intervento relativo al diritto "sui generis" affronta specificamente l'applicazione problematica riscontrata di tale diritto nel contesto dell'internet delle cose. La Commissione è attualmente impegnata anche nella preparazione della valutazione del regolamento (UE) 2018/1807, prevista per novembre 2022. Le relazioni iniziali di contraenti esterni hanno dimostrato l'effetto limitato dei codici di condotta SWIPO per quanto riguarda il passaggio ad altri servizi cloud.

•Consultazioni dei portatori di interessi

Nel corso del mandato della precedente Commissione è stato avviato un ampio lavoro per individuare i problemi che impediscono all'Unione di sfruttare pienamente le potenzialità dell'innovazione basata sui dati nell'economia. La proposta si basa su precedenti azioni di consultazione, quali la consultazione pubblica del 2017 a sostegno della comunicazione della Commissione "Costruire un'economia europea dei dati" 47 , la consultazione pubblica del 2017 sulla valutazione della direttiva sulle banche di dati, la consultazione pubblica del 2018 sulla revisione della direttiva relativa al riutilizzo dell'informazione del settore pubblico, la consultazione del 2018 del gruppo di PMI sui principi e gli orientamenti per la condivisione dei dati tra imprese e la consultazione aperta online della Commissione sulla strategia per i dati 48 da febbraio a maggio 2020.

Una valutazione d'impatto iniziale è stata pubblicata sul portale "Legiferare meglio" il 28 maggio 2021 ed è stata aperta ai commenti per quattro settimane. La Commissione ha ricevuto 91 contributi sul portale "Legiferare meglio" 49 , principalmente dalle imprese.

Una consultazione pubblica online sulla normativa sui dati è stata successivamente pubblicata il 3 giugno 2021 e si è conclusa il 3 settembre 2021. La consultazione ha affrontato i punti trattati nell'iniziativa con sezioni e domande pertinenti. Si è rivolta a tutti i tipi di portatori di interessi, raccogliendo contributi sulla condivisione e l'utilizzo dei dati e sull'accesso agli stessi in contesti da impresa a impresa e da impresa a pubblica amministrazione, sulla responsabilizzazione dei consumatori e sulla portabilità dei dati, sul ruolo potenziale di misure tecniche quali i contratti intelligenti, sulla possibilità degli utenti di passare da un servizio cloud a un altro, sui diritti di proprietà intellettuale (tutela delle banche dati) e sulle garanzie per i dati non personali nel contesto internazionale. Dopo aver effettuato un'analisi approfondita delle risposte, la Commissione ha pubblicato una relazione di sintesi sul suo sito web 50 .

In totale sono pervenuti 449 contributi da 32 paesi. Il maggior numero di contributi è pervenuto da entità commerciali, comprendenti 122 associazioni di imprese e 105 imprese/organizzazioni imprenditoriali. Inoltre 100 rispondenti erano autorità pubbliche e 58 singoli cittadini. In generale le risposte hanno confermato che vi sono numerosi ostacoli a una condivisione dei dati efficace ed efficiente in tutti i tipi di relazioni basate sui dati.

Nel contesto da impresa a impresa, nonostante la condivisione dei dati sia una pratica comune, i rispondenti che avevano incontrato difficoltà hanno individuato ostacoli di natura tecnica (formati, mancanza di standard - 69 %), oppure altri come il rifiuto assoluto di concedere l'accesso non per problemi di concorrenza (55 %) o l'abuso di uno squilibrio contrattuale (44 %). Per quanto riguarda gli aspetti contrattuali, quasi la metà dei rispondenti si è espressa a favore dell'introduzione di un test di abusività (46 %), mentre più del doppio di questi si è espresso a sfavore (21 %). Le PMI hanno decisamente sostenuto il test di abusività (50 %), accompagnate da un numero significativo di grandi imprese (41 %). Analogamente, il 46 % dei portatori di interessi in vari settori si è dichiarato favorevole a norme generali di accesso basate su condizioni eque, ragionevoli e non discriminatorie (46 %). Il 60 % dei rispondenti, in particolare le PMI e le microimprese (78 %), ha convenuto che clausole contrattuali tipo potrebbero contribuire a una maggiore condivisione dei dati. Il 70 % dei portatori di interessi ritiene che esista un problema di equità per quanto riguarda i dati generati nel contesto dell'internet delle cose, e che i fabbricanti di prodotti connessi o di servizi correlati non dovrebbero avere la possibilità di decidere unilateralmente in merito ai dati generati da tali prodotti. Il 79 % dei rispondenti ritiene che i contratti intelligenti possano essere uno strumento efficace per applicare tecnicamente l'accesso ai dati e il relativo utilizzo nel contesto dei dati co-generati relativi all'internet delle cose.

L'incertezza e le barriere giuridiche, i disincentivi commerciali e la mancanza di infrastrutture adeguate sono stati tra i principali fattori indicati dai rispondenti come ostacoli alla condivisione dei dati tra impresa e pubblica amministrazione. Quasi tutte le autorità pubbliche ritengono necessario un intervento (a livello dell'Unione o degli Stati membri) in materia di condivisione dei dati tra impresa e pubblica amministrazione, rispetto all'80 % degli istituti universitari/di ricerca e al 38 % delle imprese/organizzazioni/associazioni imprenditoriali. Una netta maggioranza dei portatori di interessi (in particolare i cittadini e le pubbliche amministrazioni) ha inoltre espresso il parere che la condivisione dei dati tra impresa e pubblica amministrazione dovrebbe essere obbligatoria, con chiare garanzie per casi d'uso specifici che rivestano un chiaro interesse pubblico in situazioni di emergenza e a fini di gestione delle crisi, nell'ambito di statistiche ufficiali, per la protezione dell'ambiente e a favore di una società più sana in generale.

I rispondenti hanno inoltre confermato l'utilità di un diritto al passaggio ad altri fornitori per gli utenti commerciali dei servizi di cloud computing. Per quanto riguarda le garanzie relative ai dati non personali in contesti internazionali, il 76 % dei rispondenti ritiene che un eventuale accesso ai dati da parte di autorità straniere, fondato su legislazioni straniere, costituisca un rischio per la propria organizzazione, mentre il 19 % indica che si tratta di un rischio importante.

•Assunzione e uso di perizie

La proposta si basa su vari studi, seminari e altri contributi di esperti.

–Studio a sostegno della valutazione d'impatto sul miglior utilizzo dei dati in Europa, comprendente interviste a portatori di interessi mirati. Nell'ambito dello studio si sono tenuti due seminari intersettoriali sulla condivisione dei dati tra imprese e tra imprese e pubblica amministrazione e un seminario conclusivo a conferma dei risultati organizzato nella primavera del 2021.

–Studio sulle clausole contrattuali tipo, sul controllo dell'equità nella condivisione dei dati e nei contratti cloud e sui diritti di accesso ai dati. Lo studio ha valutato, in particolare, gli aspetti relativi all'equità nelle relazioni di condivisione dei dati tra imprese. Sono stati intervistati portatori di interessi mirati e si è svolto un seminario conclusivo a conferma dei risultati.

–Studio sui pregiudizi economici derivanti da clausole abusive e non equilibrate nei contratti di cloud computing. Nell'ambito dello studio è stata effettuata anche un'indagine online su un campione di PMI e start-up che utilizzano il cloud computing per svolgere la loro attività.

–Studio sul passaggio da un fornitore di servizi cloud ad altri, nell'ambito del quale, nel secondo trimestre del 2017, si è svolto un seminario intersettoriale.

–Studio a sostegno del riesame della direttiva sulle banche di dati, comprendente interviste a portatori di interessi mirati. La Commissione si è avvalsa dello studio per preparare la valutazione d'impatto che accompagna il riesame della direttiva sulle banche di dati, nel contesto della normativa sui dati e nel conseguimento dei loro obiettivi interconnessi.

–Sostegno metodologico alla valutazione d'impatto relativa all'utilizzo di dati detenuti da privati in statistiche ufficiali. Questo esercizio fornisce un contributo alla valutazione d'impatto del riutilizzo dei dati nelle statistiche ufficiali, in un contesto da impresa a pubblica amministrazione, sviluppando un approccio metodologico e descrivendo i costi e i benefici del riutilizzo dei dati e di casi d'uso selezionati per diversi settori statistici e diversi tipi di dati del settore privato. Contribuisce inoltre alla ricerca e alle discussioni in corso volte al conseguimento di una migliore comprensione della condivisione dei dati in un contesto da impresa a pubblica amministrazione.

–Webinar sulle piattaforme di dati personali e sulle piattaforme di dati industriali. Il 6, 7 e 8 maggio 2020 sono stati organizzati tre webinar durante i quali sono stati presentati i pertinenti progetti di piattaforme di dati del portafoglio del partenariato pubblico-privato Big Data Value.

–Relazione del gruppo di esperti di alto livello sulla condivisione dei dati in contesti da impresa a pubblica amministrazione. La relazione contiene un'analisi dei problemi che sussistono in merito alla condivisione dei dati in contesti da impresa a pubblica amministrazione nell'Unione e offre una serie di raccomandazioni volte a garantire una condivisione dei dati nei suddetti contesti scalabile, responsabile e sostenibile nell'interesse del pubblico. La suddetta relazione, oltre a raccomandare alla Commissione di valutare l'opportunità di un quadro giuridico in questo settore, illustra diversi modi per incoraggiare le imprese private a condividere i propri dati. Tra tali modi figurano incentivi monetari e non monetari, ad esempio incentivi fiscali, investimenti di fondi pubblici per sostenere lo sviluppo di strumenti tecnici affidabili e regimi di riconoscimento per la condivisione dei dati.

–Seminario su certificazioni/attestazioni per i fornitori di soluzioni tecniche per lo scambio di dati. Il webinar, che si è svolto il 12 maggio 2020, ha riunito circa cento partecipanti provenienti da imprese (tra cui PMI), istituzioni europee e mondo accademico, con l'obiettivo di valutare se un sistema di certificazione/attestazione potesse promuovere il ricorso delle imprese a intermediari di dati rafforzando la fiducia nell'ecosistema dei dati.

–Dieci seminari riguardanti diversi settori, organizzati tra luglio e novembre 2019, hanno coinvolto oltre 300 portatori di interessi. Il tema affrontato nei seminari riguardava il modo in cui l'organizzazione della condivisione dei dati in determinati settori, quali l'ambiente, l'agricoltura, l'energia o l'assistenza sanitaria, potrebbe giovare alla società nel suo insieme, permettendo da una parte ai soggetti pubblici di elaborare politiche più adeguate e di migliorare i servizi pubblici e dall'altra ai soggetti privati di offrire servizi che contribuiscano ad affrontare le sfide sociali.

–Consultazione del gruppo PMI. La consultazione del gruppo PMI, organizzata tra ottobre 2018 e gennaio 2019, ha raccolto i pareri delle PMI sui principi e gli orientamenti della Commissione relativi alla condivisione dei dati tra imprese, pubblicati nella comunicazione "Verso uno spazio comune europeo dei dati" e nel documento di lavoro dei servizi della Commissione del 25 aprile 2018 che la accompagna 51 .

–L'ultimo Eurobarometro sull'impatto della digitalizzazione. Questa indagine generale sulla vita quotidiana degli europei include domande sul controllo e sulla condivisione delle informazioni personali. Pubblicato il 5 marzo 2020, fornisce informazioni sulla propensione dei cittadini europei a condividere le loro informazioni personali e sulle condizioni alle quali sono disposti a farlo.

–Parere del Garante europeo della protezione dei dati (GEPD) sulla strategia europea per i dati 52 . Il 16 giugno 2020 il GEPD ha adottato il parere 3/2020 sulla strategia europea per i dati in cui ha accolto con favore la strategia, sostenendo che la sua attuazione può fungere da esempio di un modello alternativo di economia dei dati.

•Valutazione d'impatto

La presente proposta è accompagnata da una valutazione d'impatto 53 , presentata al comitato per il controllo normativo il 29 settembre e il 13 dicembre 2021. Il 21 gennaio 2022 il comitato ha espresso un parere positivo con riserva.

•Efficienza normativa e semplificazione

La proposta chiarisce che il diritto "sui generis" di cui alla direttiva sulle banche di dati (direttiva 96/9/CE) non si applica alle banche dati contenenti dati generati o ottenuti mediante l'uso di prodotti o di servizi correlati e in tal modo garantisce che il diritto "sui generis" non interferisca con i diritti delle imprese e dei consumatori di accedere ai dati, utilizzarli e condividerli di cui al presente regolamento. Tale chiarimento consentirà di allineare l'applicazione del diritto "sui generis" all'obiettivo della proposta legislativa e avrà un effetto positivo sull'applicazione uniforme delle norme nel mercato interno e per l'economia dei dati.

La normativa sui dati, facilitando l'accesso ai dati e il relativo utilizzo, dovrebbe ridurre gli oneri che gravano sul settore pubblico e sulle imprese, principalmente grazie alla riduzione dei costi di transazione e a una maggiore efficienza. Nell'ambito del principio "one in, one out" 54 , che mira a ridurre al minimo gli oneri che gravano su cittadini e imprese in ragione delle conseguenze e dei costi dell'applicazione di una normativa, l'onere amministrativo netto stimato relativo alla normativa sui dati, basato sulla valutazione d'impatto, tiene conto dei benefici suscettibili non solo di compensare ma anche di superare di gran lunga i costi amministrativi associati.

•Diritti fondamentali

La proposta è conforme alla legislazione dell'Unione in materia di protezione dei dati personali e di riservatezza delle comunicazioni e delle apparecchiature terminali e prevede ulteriori garanzie nei casi che possono riguardare l'accesso ai dati personali e nei casi soggetti a diritti di proprietà intellettuale.

Il capo II rafforza l'elevato livello di protezione dei consumatori mediante il nuovo diritto di accesso ai dati generati dagli utenti in situazioni precedentemente non contemplate dal diritto dell'Unione. Il diritto di utilizzare beni acquisiti legalmente e di disporne è rafforzato dal diritto di accesso ai dati generati dall'utilizzo di un oggetto dell'internet delle cose. In tal modo il proprietario può beneficiare di una migliore esperienza per l'utente e di una gamma più ampia di servizi, ad esempio, di riparazione e manutenzione. Nel contesto della protezione dei consumatori, i diritti dei minori in quanto consumatori vulnerabili meritano un'attenzione particolare e le norme della normativa sui dati contribuiranno ad apportare una maggiore chiarezza per quanto riguarda l'accesso ai dati e il relativo utilizzo.

Il diritto di accesso ai dati dell'internet delle cose da parte di terzi su richiesta dell'utente limita la libertà d'impresa e la libertà contrattuale del fabbricante o del progettista di un prodotto o di un servizio correlato. Tale limitazione è giustificata dalla maggiore tutela del consumatore, in particolare dalla promozione dei suoi interessi economici. Il fabbricante o il progettista di un prodotto o di un servizio correlato ha generalmente il controllo esclusivo sull'utilizzo dei dati generati dall'uso di un prodotto o di un servizio correlato, il che contribuisce a creare effetti di lock-in e ostacola l'ingresso nel mercato degli operatori che offrono servizi post-vendita. Il diritto di accesso ai dati dell'internet delle cose risolve tale problematica fornendo ai consumatori che impiegano prodotti o servizi correlati gli strumenti per controllare in modo significativo le modalità di utilizzo dei dati generati dal loro uso di tali prodotti o servizi correlati e consentendo a un maggior numero di operatori del mercato di partecipare al processo di innovazione. I consumatori possono quindi beneficiare di una scelta più ampia di servizi post-vendita, come la riparazione e la manutenzione, e non dipendono più unicamente dai servizi del fabbricante. La proposta agevola la portabilità dei dati dell'utente verso terzi, permettendo in tal modo sia un'offerta competitiva di servizi post vendita sia una maggiore innovazione basata sui dati, oltre allo sviluppo di prodotti o servizi non correlati a quelli inizialmente acquistati o sottoscritti dall'utente.

La limitazione della libertà contrattuale e d'impresa del fabbricante o del progettista è proporzionata e mitigata dalla loro capacità inalterata di continuare ad utilizzare i dati, nei limiti in cui tale utilizzo sia conforme alla legislazione applicabile e all'accordo stabilito con l'utente. Inoltre il fabbricante o il progettista beneficeranno anche del diritto ad un compenso per la concessione dell'accesso a terzi. Il diritto di accesso non pregiudica i diritti di accesso e portabilità esistenti per gli interessati in virtù del GDPR. Garanzie supplementari assicurano un utilizzo proporzionato dei dati da parte di terzi.

Il capo IV prevede un sistema equo ed efficace di protezione contro clausole contrattuali abusive nella condivisione dei dati che contribuirà alla capacità delle microimprese e delle piccole o medie imprese di condurre un'attività. Tale disposizione limita solo parzialmente la libertà contrattuale delle imprese che rientrano nell'ambito di applicazione, in quanto si applica esclusivamente alle clausole contrattuali abusive che riguardano l'accesso ai dati e il relativo utilizzo, imposte unilateralmente da una delle parti contraenti a una microimpresa o a una piccola o media impresa. Tale disposizione è giustificata dal fatto che le PMI si trovano generalmente in una posizione negoziale più debole e spesso non hanno altra scelta se non quella di accettare clausole contrattuali "prendere o lasciare". La libertà contrattuale rimane ampiamente inalterata, poiché solo le clausole eccessive e abusive sono rese invalide, senza che ciò influisca sulla validità del contratto privo di clausole abusive. Inoltre le parti possono sempre negoziare individualmente una specifica clausola contrattuale 55 .

Al capo V, le disposizioni relative alla condivisione dei dati tra impresa e pubblica amministrazione dettata da una necessità eccezionale rafforzeranno la capacità delle autorità pubbliche di intervenire per il bene comune, ad esempio per prevenire un'emergenza pubblica, rispondervi o favorire la ripresa. Anche il settore privato trarrà beneficio dalla semplificazione delle procedure di richiesta dei dati.

Al capo VI, le disposizioni sul passaggio ad altri fornitori di servizi di trattamento dei dati rafforzano la posizione dei clienti commerciali e tutelano la loro scelta di cambiare fornitore. La limitazione del diritto d'impresa imposta ai fornitori di servizi di trattamento dei dati è giustificata dal fatto che le nuove norme risolvono le problematiche legate agli effetti di lock-in nel mercato del cloud e dell'edge e aumentano la scelta di servizi di trattamento dei dati offerta agli utenti commerciali e ai singoli individui.

Al capo X, l'intervento sul diritto "sui generis" sulle banche dati di cui alla direttiva sulle banche di dati non limita la tutela della proprietà intellettuale in esso contenuta. Esso contribuisce piuttosto alla certezza del diritto nei casi in cui la tutela del diritto "sui generis" era precedentemente poco chiara.

4.INCIDENZA SUL BILANCIO

La proposta non avrà alcuna incidenza sul bilancio.

5.ALTRI ELEMENTI

•Piani attuativi e modalità di monitoraggio, valutazione e informazione

A livello settoriale e macroeconomico, lo studio di monitoraggio del mercato dei dati attualmente in corso contribuirà a monitorare l'incidenza economica dell'attuale proposta sulla crescita del mercato dei dati nell'Unione.

L'incidenza sulle PMI, in particolare la loro percezione dei problemi legati all'accesso ai dati e al relativo utilizzo, sarà valutata tramite una consultazione del gruppo PMI cinque anni dopo l'adozione della normativa sui dati.

Dato il ruolo centrale degli spazi comuni europei di dati nell'attuazione della strategia europea per i dati, molti degli effetti di questa iniziativa saranno monitorati a livello degli spazi di dati settoriali, e delle informazioni raccolte dal centro di sostegno agli spazi di dati che sarà finanziato nell'ambito del programma Europa digitale. La regolare interazione tra i servizi della Commissione, il centro di sostegno e il comitato europeo per l'innovazione in materia di dati (che sarà istituito a seguito dell'entrata in vigore dell'atto sulla governance dei dati) dovrebbe servire come fonte affidabile di informazioni utili a valutare i progressi compiuti.

Infine quattro anni dopo l'adozione della normativa sui dati sarà avviata una valutazione dell'iniziativa in base alla quale, se necessario, saranno previste altre azioni.

•Illustrazione dettagliata delle singole disposizioni della proposta

Il capo I definisce l'oggetto e l'ambito di applicazione del regolamento e stabilisce le definizioni utilizzate in tutto l'atto.

Il capo II accresce la certezza del diritto per consumatori e imprese per quanto riguarda l'accesso ai dati generati dai prodotti o dai servizi correlati che possiedono, affittano o noleggiano. I fabbricanti e i progettisti devono progettare i prodotti in modo che i dati siano, per impostazione predefinita, facilmente accessibili e dovranno indicare in modo trasparente quali dati saranno accessibili e come accedervi. Le disposizioni di tale capo non impediscono ai fabbricanti di accedere ai dati dei prodotti o dei servizi correlati offerti e di utilizzarli, previo accordo dell'utente. Il titolare dei dati ha l'obbligo di metterli a disposizione di terzi su richiesta dell'utente. Gli utenti avranno il diritto di autorizzare il titolare dei dati a dare accesso ai dati a fornitori di servizi terzi, come ad esempio i fornitori di servizi post-vendita. Le microimprese e le piccole imprese saranno esentate da tali obblighi.

Il capo III stabilisce le norme generali applicabili agli obblighi relativi alla messa a disposizione dei dati. Qualora il titolare dei dati sia tenuto a mettere i dati a disposizione di un destinatario dei dati in virtù del capo II o di altra normativa dell'Unione o di uno Stato membro, il quadro generale definisce le condizioni alle quali metterli a disposizioni e il relativo compenso. Tutte le condizioni dovranno essere eque e non discriminatorie e gli eventuali compensi per la messa a disposizione dei dati dovranno essere ragionevoli, senza precludere che altre normative dell'Unione o normative nazionali che attuano il diritto dell'Unione escludano tali compensi o ne prevedano di inferiori. Gli eventuali compensi stabiliti per le PMI non possono superare i costi sostenuti per la messa a disposizione dei dati, salvo diversamente specificato in normative settoriali. Gli organismi di risoluzione delle controversie certificati dagli Stati membri possono assistere le parti che siano in disaccordo sul compenso o sulle condizioni affinché giungano a un accordo.

Il capo IV riguarda il carattere abusivo delle clausole contrattuali nei contratti di condivisione dei dati tra imprese, nelle situazioni in cui una clausola contrattuale sia imposta unilateralmente a una micro, piccola o media impresa. Tale capo garantisce che gli accordi contrattuali sull'accesso ai dati e sul relativo utilizzo non traggano vantaggio da squilibri del potere negoziale tra le parti contraenti. Il test di abusività è uno strumento comprendente una disposizione generale che definisce il carattere abusivo di una clausola contrattuale relativa alla condivisione dei dati, accompagnata da un elenco di clausole che sono sempre abusive o presunte tali. In situazioni di potere negoziale non equo, tale test tutela la parte contrattuale più debole al fine di evitare contratti abusivi. La mancanza di equità ostacola l'utilizzo dei dati da parte di entrambe le parti contraenti. Le disposizioni pertanto garantiscono una più equa ripartizione del valore nell'economia dei dati 56 . Le clausole contrattuali tipo raccomandate dalla Commissione possono aiutare le parti commerciali a concludere contratti basati su condizioni eque.

Il capo V istituisce un quadro armonizzato per l'utilizzo, da parte degli enti pubblici e delle istituzioni, agenzie e organismi dell'Unione, dei dati detenuti dalle imprese, in situazioni in cui vi sia una necessità eccezionale dei dati richiesti. Il quadro si basa sull'obbligo di mettere a disposizione i dati e sarebbe applicabile solo in caso di emergenze pubbliche o in situazioni in cui gli enti pubblici hanno la necessità eccezionale di utilizzare determinati dati che non possono essere ottenuti sul mercato, in modo tempestivo mediante l'adozione di un nuovo atto legislativo o mediante obblighi di comunicazione già vigenti. In caso di necessità eccezionale, per rispondere a emergenze pubbliche, quali emergenze di sanità pubblica, o gravi catastrofi naturali o provocate dall'uomo, i dati sarebbero messi a disposizione gratuitamente. In altri casi di necessità eccezionale, anche per prevenire un'emergenza pubblica o favorire la ripresa, il titolare dei dati che li mette a disposizione dovrebbe avere diritto a un compenso che includa i costi relativi alla messa a disposizione dei dati pertinenti oltre a un margine ragionevole. Per garantire che non si abusi del diritto di richiedere dati e che il settore pubblico rimanga responsabile del relativo utilizzo, le richieste di dati dovrebbero essere proporzionate, indicare chiaramente la finalità da conseguire e rispettare gli interessi dell'impresa che mette a disposizione tali dati. Le autorità competenti dovrebbero garantire la trasparenza e la disponibilità pubblica di tutte le richieste e gestire gli eventuali reclami che ne conseguano.

Il capo VI introduce prescrizioni normative minime di natura contrattuale, commerciale e tecnica, imposte ai fornitori di servizi cloud, edge e di altri servizi di trattamento dei dati, per permettere il passaggio tra tali servizi. In particolare, la proposta garantisce che i clienti mantengano l'equivalenza funzionale (un livello minimo di funzionalità) del servizio dopo il passaggio a un altro fornitore di servizi. La proposta contiene un'eccezione riguardante l'impossibilità tecnica, ma pone l'onere della prova a tale riguardo a carico del fornitore di servizi. La proposta non impone norme tecniche o interfacce specifiche, ma richiede che i servizi siano compatibili con le norme europee o con le specifiche tecniche di interoperabilità aperte, se esistenti.

Il capo VII riguarda l'accesso illecito di terzi ai dati non personali detenuti nell'Unione da servizi di trattamento dei dati offerti sul mercato dell'Unione. La proposta non pregiudica la base giuridica delle richieste di accesso ai dati detenuti da cittadini o da imprese dell'UE e lascia impregiudicato il quadro dell'Unione in materia di protezione dei dati e tutela della vita privata. Sono offerte garanzie specifiche, mediante l'obbligo per i fornitori di adottare tutte le ragionevoli misure tecniche, giuridiche e organizzative per evitare che tale accesso sia in conflitto con gli obblighi concorrenti di proteggere tali dati a norma del diritto dell'Unione, a meno che non siano soddisfatte condizioni rigorose. Il regolamento rispetta gli impegni internazionali dell'Unione nell'ambito dell'OMC e degli accordi commerciali bilaterali.

Il capo VIII stabilisce le prescrizioni essenziali in materia di interoperabilità che gli operatori degli spazi di dati e i fornitori di servizi di trattamento dei dati devono rispettare e stabilisce le prescrizioni essenziali dei contratti intelligenti. Tale capo prevede inoltre specifiche di interoperabilità aperte e norme europee per l'interoperabilità dei servizi di trattamento dei dati al fine di promuovere un ambiente cloud uniforme con più fornitori.

Il capo IX stabilisce il quadro di attuazione e di esecuzione, con autorità competenti in ogni Stato membro e un meccanismo per il trattamento delle denunce. La Commissione raccomanda clausole contrattuali tipo volontarie per l'accesso ai dati e il relativo utilizzo. In caso di violazione del presente regolamento sono previste sanzioni.

Il capo X contiene una disposizione in base alla quale il diritto "sui generis" sancito dalla direttiva 96/9/CE non si applica nel caso di banche dati contenenti dati ottenuti o generati dall'uso di un prodotto o di un servizio correlato per ostacolare l'effettivo esercizio del diritto degli utenti di accedere ai dati e di utilizzarli conformemente all'articolo 4 del presente regolamento o del diritto di condividere tali dati con terzi conformemente all'articolo 5 del presente regolamento.

Il capo XI conferisce alla Commissione il potere di adottare atti delegati al fine di introdurre un meccanismo di controllo delle tariffe di passaggio imposte ai fornitori di servizi di trattamento dei dati, di specificare ulteriormente le prescrizioni essenziali in materia di interoperabilità e di pubblicare i riferimenti delle specifiche di interoperabilità aperte e delle norme europee per l'interoperabilità dei servizi di trattamento dei dati. Tale capo prevede inoltre la procedura di comitato per l'adozione di atti di esecuzione volti a facilitare l'adozione di specifiche comuni per l'interoperabilità e i contratti intelligenti qualora non esistano norme armonizzate o tali norme siano insufficienti a garantire la conformità alle prescrizioni essenziali. La proposta chiarisce inoltre la relazione con altri atti giuridici dell'Unione che disciplinano i diritti e gli obblighi in materia di condivisione dei dati.

2022/0047 (COD)

Proposta di

REGOLAMENTO DEL PARLAMENTO EUROPEO E DEL CONSIGLIO

riguardante norme armonizzate sull'accesso equo ai dati e sul loro utilizzo
(normativa sui dati)

(Testo rilevante ai fini del SEE)

IL PARLAMENTO EUROPEO E IL CONSIGLIO DELL'UNIONE EUROPEA,

visto il trattato sul funzionamento dell'Unione europea, in particolare l'articolo 114,

vista la proposta della Commissione europea,

previa trasmissione del progetto di atto legislativo ai parlamenti nazionali,

visto il parere del Comitato economico e sociale europeo 57 ,

visto il parere del Comitato delle regioni 58 ,

deliberando secondo la procedura legislativa ordinaria,

considerando quanto segue:

(1)Negli ultimi anni le tecnologie basate sui dati hanno avuto effetti trasformativi su tutti i settori dell'economia. In particolare la proliferazione di prodotti connessi all'internet delle cose ha aumentato il volume e il valore potenziale dei dati per i consumatori, le imprese e la società. Dati interoperabili e di elevata qualità provenienti da diversi settori aumentano la competitività e l'innovazione e garantiscono una crescita economica sostenibile. Lo stesso set di dati può essere potenzialmente utilizzato e riutilizzato per una varietà di scopi e in misura illimitata, senza alcuna perdita in termini di qualità o quantità.

(2)Gli ostacoli alla condivisione dei dati impediscono un'allocazione ottimale dei dati a vantaggio della società. Tali ostacoli comprendono la mancanza di incentivi per i titolari dei dati a stipulare volontariamente accordi di condivisione dei dati, l'incertezza sui diritti e gli obblighi in relazione ai dati, i costi per la conclusione di contratti e l'implementazione di interfacce tecniche, l'elevato livello di frammentazione delle informazioni in silos di dati, la cattiva gestione dei metadati, l'assenza di norme per l'interoperabilità semantica e tecnica, le strozzature che impediscono l'accesso ai dati, la mancanza di pratiche comuni di condivisione dei dati e l'abuso degli squilibri contrattuali per quanto riguarda l'accesso ai dati e il loro uso.

(3)Nei settori caratterizzati dalla presenza di microimprese e piccole e medie imprese vi è spesso una mancanza di capacità e competenze digitali per raccogliere, analizzare e utilizzare i dati, e l'accesso è frequentemente limitato nei casi in cui è detenuto da un unico operatore o a causa della mancanza di interoperabilità tra i dati, tra i servizi di dati o a livello transfrontaliero.

(4)Al fine di rispondere alle necessità dell'economia digitale e di eliminare gli ostacoli al buon funzionamento del mercato interno dei dati, è necessario stabilire un quadro armonizzato che specifichi chi, oltre al fabbricante o ad altro titolare dei dati, ha il diritto di accedere ai dati generati dai prodotti o dai servizi correlati, a quali condizioni e su quale base. Di conseguenza gli Stati membri non dovrebbero adottare o mantenere requisiti nazionali supplementari per le questioni che rientrano nell'ambito di applicazione del presente regolamento, salvo ove esplicitamente previsto da quest'ultimo, in quanto ciò inciderebbe sull'applicazione diretta e uniforme del presente regolamento.

(5)Il presente regolamento garantisce che gli utenti di un prodotto o di un servizio correlato nell'Unione possano accedere tempestivamente ai dati generati dall'uso di tale prodotto o servizio correlato e che tali utenti possano utilizzare i dati, anche condividendoli con terzi di loro scelta. Esso impone al titolare dei dati l'obbligo di mettere i dati a disposizione degli utenti e dei terzi designati dagli utenti in determinate circostanze. Garantisce inoltre che i titolari dei dati mettano i dati a disposizione dei destinatari dei dati nell'Unione a condizioni eque, ragionevoli e non discriminatorie e in modo trasparente. Le norme di diritto privato sono fondamentali nel quadro generale della condivisione dei dati. Il presente regolamento adegua pertanto le norme di diritto contrattuale e impedisce lo sfruttamento degli squilibri contrattuali che ostacolano l'accesso equo ai dati e il loro uso da parte delle microimprese e delle piccole e medie imprese ai sensi della raccomandazione 2003/361/CE. Il presente regolamento garantisce inoltre che i titolari dei dati mettano a disposizione degli enti pubblici degli Stati membri e delle istituzioni, delle agenzie o degli organismi dell'Unione, ove vi sia una necessità eccezionale, i dati necessari per lo svolgimento dei compiti nell'interesse pubblico. Il presente regolamento mira altresì ad agevolare il passaggio tra servizi di trattamento dei dati e a migliorare l'interoperabilità dei dati e dei meccanismi e servizi di condivisione dei dati nell'Unione. È opportuno non interpretare il presente regolamento come un atto che riconosce o creare una base giuridica che consenta al titolare dei dati di detenere i dati, trattarli e avervi accesso o che conferisce al titolare dei dati un nuovo diritto di utilizzare i dati generati dall'uso di un prodotto o di un servizio correlato. Il punto di partenza del presente regolamento è invece il controllo che il titolare dei dati effettivamente esercita, di fatto o di diritto, sui dati generati dai prodotti o dai servizi correlati.

(6)La generazione dei dati è il risultato delle azioni di almeno due soggetti, il progettista o il fabbricante di un prodotto e l'utente di tale prodotto. Ciò solleva questioni di equità nell'economia digitale, in quanto i dati registrati da tali prodotti o servizi correlati costituiscono un input importante per i servizi post-vendita, ausiliari e di altro tipo. Al fine di realizzare gli importanti vantaggi economici dei dati in quanto bene non rivale per l'economia e la società, è preferibile adottare un approccio generale all'assegnazione dei diritti di accesso e uso dei dati rispetto alla concessione di diritti esclusivi di accesso e uso.

(7)Il diritto fondamentale alla protezione dei dati personali è garantito in particolare dal regolamento (UE) 2016/679 e dal regolamento (UE) 2018/1725. La direttiva 2002/58/CE tutela inoltre la vita privata e la riservatezza delle comunicazioni, definendo anche condizioni per la conservazione dei dati personali e non personali nelle apparecchiature terminali e per l'accesso agli stessi da tali apparecchiature. Questi strumenti costituiscono la base per un trattamento sostenibile e responsabile dei dati, anche nei casi in cui i set di dati comprendono una combinazione di dati personali e non personali. Il presente regolamento integra e lascia impregiudicato il diritto dell'Unione in materia di protezione dei dati e di vita privata, in particolare il regolamento (UE) 2016/679 e la direttiva 2002/58/CE. Nessuna disposizione del presente regolamento dovrebbe essere applicata o interpretata in modo da ridurre o limitare il diritto alla protezione dei dati personali o il diritto alla vita privata e alla riservatezza delle comunicazioni.

(8)I principi della minimizzazione dei dati e della protezione dei dati fin dalla progettazione e per impostazione predefinita sono essenziali quando il trattamento comporta rischi significativi per i diritti fondamentali delle persone. Tenendo conto dello stato dell'arte, tutte le parti coinvolte nella condivisione dei dati, comprese le condivisioni rientranti nell'ambito di applicazione del presente regolamento, dovrebbero attuare misure tecniche e organizzative per tutelare questi diritti. Tali misure comprendono non solo la pseudonimizzazione e la cifratura, ma anche l'uso di tecnologie sempre più disponibili che consentono di applicare gli algoritmi ai dati e di ricavare informazioni preziose senza la trasmissione tra le parti o la copia non necessaria dei dati stessi, siano essi grezzi o strutturati.

(9)Il presente regolamento integra e lascia impregiudicato il diritto dell'Unione volto a promuovere gli interessi dei consumatori e a garantire un livello elevato di protezione dei consumatori, a proteggere la loro salute, la loro sicurezza e i loro interessi economici, in particolare la direttiva 2005/29/CE del Parlamento europeo e del Consiglio 59 , la direttiva 2011/83/UE del Parlamento europeo e del Consiglio 60 e la direttiva 93/13/CEE del Parlamento europeo e del Consiglio 61 .

(10)Il presente regolamento lascia impregiudicati gli atti giuridici dell'Unione che prevedono la condivisione dei dati, l'accesso agli stessi e il loro uso a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, o a fini doganali e fiscali, indipendentemente dalla base giuridica a norma del trattato sul funzionamento dell'Unione europea sulla cui base sono stati adottati. Tali atti comprendono il regolamento (UE) 2021/784 del Parlamento europeo e del Consiglio, del 29 aprile 2021, relativo al contrasto della diffusione di contenuti terroristici online, [le proposte sulle prove elettroniche [COM(2018) 225 e 226] una volta adottate], [la proposta di] regolamento del Parlamento europeo e del Consiglio relativo a un mercato unico dei servizi digitali (legge sui servizi digitali) e che modifica la direttiva 2000/31/CE, nonché la cooperazione internazionale in questo contesto, in particolare sulla base della convenzione sulla criminalità informatica del Consiglio d'Europa del 2001 ("convenzione di Budapest"). Il presente regolamento lascia impregiudicate le competenze degli Stati membri per quanto riguarda le attività in materia di pubblica sicurezza, difesa e sicurezza nazionale conformemente al diritto dell'Unione e le attività delle dogane in materia di gestione dei rischi e, in generale, di verifica del rispetto del codice doganale da parte degli operatori economici.

(11)Il presente regolamento non dovrebbe incidere sul diritto dell'Unione che stabilisce requisiti in materia di progettazione fisica e di dati per i prodotti da immettere sul mercato dell'Unione.

(12)Il presente regolamento integra e lascia impregiudicato il diritto dell'Unione volto a stabilire requisiti di accessibilità per determinati prodotti e servizi, in particolare la direttiva 2019/882 62 .

(13)Il presente regolamento lascia impregiudicate le competenze degli Stati membri per quanto riguarda le attività in materia di pubblica sicurezza, difesa e sicurezza nazionale conformemente al diritto dell'Unione e le attività delle dogane in materia di gestione dei rischi e, in generale, di verifica del rispetto del codice doganale da parte degli operatori economici.

(14)I prodotti fisici che ottengono, generano o raccolgono, mediante i loro componenti, dati relativi alle loro prestazioni, al loro uso o al loro ambiente e che sono in grado di comunicare tali dati tramite un servizio di comunicazione elettronica accessibile al pubblico (spesso denominato "internet delle cose") dovrebbero rientrare nell'ambito di applicazione del presente regolamento. I servizi di comunicazione elettronica comprendono le reti telefoniche terrestri, le reti televisive via cavo, le reti satellitari e le reti di comunicazione in prossimità (NFC). Tali prodotti possono comprendere veicoli, apparecchiature domestiche e beni di consumo, dispositivi medici e sanitari o macchine agricole e industriali. I dati rappresentano la digitalizzazione delle azioni e degli eventi degli utenti e dovrebbero pertanto essere accessibili all'utente, mentre le informazioni ricavate o desunte da tali dati, se detenute in modo lecito, non dovrebbero essere considerate nell'ambito di applicazione del presente regolamento. Tali dati sono potenzialmente preziosi per l'utente e sostengono l'innovazione e lo sviluppo di servizi digitali e di altro tipo che tutelano l'ambiente, la salute e l'economia circolare, in particolare agevolando la manutenzione e la riparazione dei prodotti in questione.

(15)Per contro, determinati prodotti progettati principalmente per visualizzare o riprodurre contenuti o per registrare e trasmettere contenuti, anche per l'uso da parte di un servizio online, non dovrebbero rientrare nell'ambito di applicazione del presente regolamento. Tali prodotti comprendono, ad esempio, personal computer, server, tablet e smartphone, telecamere, webcam, sistemi di registrazione sonora e scanner di testo. Essi richiedono un contributo umano per produrre varie forme di contenuto, quali documenti di testo, file audio, file video, giochi, mappe digitali.

(16)È necessario stabilire norme applicabili ai prodotti connessi che incorporano un servizio o sono interconnessi con tale servizio in modo tale che l'assenza del servizio impedirebbe al prodotto di svolgere le sue funzioni. Tali servizi correlati possono far parte del contratto di vendita, di locazione o di noleggio o sono di norma forniti per prodotti dello stesso tipo, e l'utente potrebbe ragionevolmente aspettarsi che siano forniti in considerazione della natura del prodotto e di qualsiasi dichiarazione pubblica resa dal venditore, dal locatore, dal noleggiatore o da altre persone nei precedenti anelli della catena di transazioni commerciali, compreso il fabbricante, o per loro conto. Questi servizi correlati possono generare essi stessi dati utili per l'utente indipendentemente dalle capacità di raccolta dei dati del prodotto con il quale sono interconnessi. Il presente regolamento dovrebbe applicarsi anche a un servizio correlato che non è fornito dal venditore, dal locatore o dal noleggiatore stesso, ma che è prestato, nell'ambito di un contratto di vendita, di locazione o di noleggio, da un terzo. In caso di dubbi sul fatto che la prestazione del servizio faccia parte del contratto di vendita, di locazione o di noleggio, è opportuno applicare il presente regolamento.

(17)I dati generati dall'uso di un prodotto o di un servizio correlato comprendono i dati registrati intenzionalmente dall'utente. Tali dati comprendono anche i dati generati come sottoprodotto dell'azione dell'utente, quali i dati diagnostici, e senza alcuna azione da parte dell'utente, ad esempio quando il prodotto è in "modalità stand-by", nonché i dati registrati durante i periodi in cui il prodotto è spento. Tali dati dovrebbero comprendere i dati nella forma e nel formato in cui sono generati dal prodotto, ma non riguardano i dati risultanti da un'elaborazione software che calcoli dati derivati da tali dati, in quanto tale elaborazione software può esser soggetta a diritti di proprietà intellettuale.

(18)L'utente di un prodotto dovrebbe essere inteso come la persona fisica o giuridica, ad esempio un consumatore o un'impresa, che ha acquistato, affittato o noleggiato il prodotto. A seconda del titolo giuridico con il quale lo utilizza, tale utente sopporta i rischi e gode dei vantaggi derivanti dall'uso del prodotto connesso e dovrebbe beneficiare anche dell'accesso ai dati che esso genera. L'utente dovrebbe pertanto avere il diritto di trarre vantaggio dai dati generati da tale prodotto e da qualsiasi servizio correlato.

(19)Nella pratica, non tutti i dati generati dai prodotti o dai servizi correlati sono facilmente accessibili agli utenti e le possibilità di portabilità dei dati generati da prodotti connessi all'internet delle cose sono spesso limitate. Gli utenti non sono in grado di ottenere i dati necessari per avvalersi dei fornitori di servizi di riparazione e di altri servizi e le imprese non sono in grado di introdurre servizi innovativi, più efficienti e convenienti. In molti settori i fabbricanti sono spesso in grado di determinare, attraverso il controllo della progettazione tecnica del prodotto o dei servizi correlati, quali dati sono generati e come possono essere consultati, anche se non hanno alcun diritto legale ai dati. È pertanto necessario garantire che i prodotti siano progettati e fabbricati e che i servizi correlati siano forniti in modo tale che i dati generati dal loro uso siano sempre facilmente accessibili all'utente.

(20)Nel caso in cui più persone o entità siano proprietarie di un prodotto o siano parti di un contratto di noleggio o di locazione e beneficino dell'accesso a un servizio correlato, dovrebbero essere compiuti sforzi ragionevoli nella progettazione del prodotto o del servizio correlato o dell'interfaccia pertinente affinché tutte le persone possano avere accesso ai dati che generano. Agli utenti di prodotti che generano dati viene in genere richiesto di creare di un account utente. Questo consente l'identificazione dell'utente da parte del fabbricante e funge da mezzo di comunicazione per effettuare richieste di accesso ai dati e per il loro trattamento. I fabbricanti o i progettisti di un prodotto generalmente utilizzato da più persone dovrebbero porre in essere il meccanismo necessario per consentire, se del caso, account utente separati per le singole persone o la possibilità per più persone di utilizzare lo stesso account utente. L'accesso dovrebbe essere accordato all'utente su semplice richiesta, tramite meccanismi che consentono l'esecuzione automatica e non richiedono un esame o un'autorizzazione da parte del fabbricante o del titolare dei dati. Ciò significa che i dati dovrebbero essere resi disponibili solo quando l'utente lo desidera effettivamente. Qualora l'esecuzione automatizzata della richiesta di accesso ai dati non sia possibile, ad esempio, attraverso un account utente o un'applicazione mobile complementare fornita con il prodotto o il servizio, il fabbricante dovrebbe informare l'utente in merito alle modalità di accesso ai dati.

(21)I prodotti possono essere progettati in modo da rendere alcuni dati direttamente disponibili da un archivio dati sul dispositivo o da un server remoto al quale i dati sono comunicati. L'accesso all'archivio dati sul dispositivo può essere consentito tramite reti locali via cavo o senza fili collegate a un servizio di comunicazione elettronica accessibile al pubblico o a una rete mobile. Il server può essere il server locale del fabbricante o quello di un terzo o di un fornitore di servizi cloud che opera in qualità di titolare dei dati. I prodotti possono essere progettati in modo da consentire all'utente o a terzi di trattare i dati sul prodotto o su un'istanza di calcolo del fabbricante.

(22)Gli assistenti virtuali svolgono un ruolo sempre più importante nella digitalizzazione degli ambienti dei consumatori e fungono da interfaccia di facile utilizzo per riprodurre contenuti, ottenere informazioni o attivare oggetti fisici connessi all'internet delle cose. Gli assistenti virtuali possono fungere da punto di accesso unico, ad esempio, in un ambiente domestico intelligente e registrare quantità significative di dati pertinenti sul modo in cui gli utenti interagiscono con i prodotti connessi all'internet delle cose, compresi quelli fabbricati da altre parti; possono inoltre sostituire l'uso di interfacce fornite dal fabbricante quali schermi tattili o applicazioni per smartphone. L'utente può voler mettere tali dati a disposizione di fabbricanti terzi e consentire così la realizzazione nuovi servizi domestici intelligenti. Tali assistenti virtuali dovrebbero essere contemplati dal diritto di accesso ai dati di cui al presente regolamento anche per quanto riguarda i dati registrati prima dell'attivazione dell'assistente virtuale mediante la parola di attivazione e i dati generati quando un utente interagisce con un prodotto tramite un assistente virtuale fornito da un'entità diversa dal fabbricante del prodotto. Tuttavia solo i dati derivanti dall'interazione tra l'utente e il prodotto attraverso l'assistente virtuale rientrano nell'ambito di applicazione del presente regolamento. I dati prodotti dall'assistente virtuale non correlati all'uso di un prodotto non sono oggetto del presente regolamento.

(23)Prima di concludere un contratto per l'acquisto, la locazione o il noleggio di un prodotto o la fornitura di un servizio correlato, è opportuno fornire all'utente informazioni chiare e sufficienti sulle modalità di accesso ai dati generati. Tale obbligo garantisce la trasparenza dei dati generati e migliora la facilità di accesso per l'utente. L'obbligo di fornire informazioni non pregiudica l'obbligo per il titolare del trattamento di fornire informazioni all'interessato ai sensi degli articoli 12, 13 e 14 del regolamento (UE) 2016/679.

(24)Il presente regolamento impone ai titolari dei dati l'obbligo di mettere a disposizione i dati in determinate circostanze. Nella misura in cui sono trattati dati personali, il titolare dei dati dovrebbe essere un titolare del trattamento ai sensi del regolamento (UE) 2016/679. Qualora gli utenti siano interessati, i titolari dei dati dovrebbero essere tenuti a fornire loro l'accesso ai dati e a mettere i dati a disposizione di terzi scelti dall'utente in conformità al presente regolamento. Tuttavia il presente regolamento non crea una base giuridica a norma del regolamento (UE) 2016/679 in virtù della quale il titolare dei dati possa consentire l'accesso ai dati personali o renderli disponibili a terzi su richiesta di un utente che non è un interessato e non dovrebbe essere inteso come un nuovo diritto del titolare dei dati di utilizzare i dati generati dall'uso di un prodotto o di un servizio correlato. Ciò vale in particolare nel caso in cui il fabbricante sia il titolare dei dati. In tal caso, la base per l'utilizzo di dati non personali da parte del fabbricante dovrebbe essere un accordo contrattuale tra il fabbricante e l'utente. Tale accordo può far parte del contratto di vendita, di locazione o di noleggio relativo al prodotto. Qualsiasi clausola contrattuale dell'accordo che preveda che il titolare dei dati possa utilizzare i dati generati dall'utente di un prodotto o di un servizio correlato dovrebbe essere trasparente per l'utente, anche per quanto riguarda la finalità per la quale il titolare dei dati intende utilizzare i dati. Il presente regolamento non dovrebbe impedire condizioni contrattuali che abbiano l'effetto di escludere o limitare l'uso dei dati, o di talune loro categorie, da parte del titolare dei dati. Il presente regolamento non dovrebbe inoltre impedire requisiti normativi settoriali specifici ai sensi del diritto dell'Unione, o del diritto nazionale compatibile con il diritto dell'Unione, che escluderebbero o limiterebbero l'uso di alcuni di tali dati da parte del titolare dei dati per motivi ben definiti di ordine pubblico.

(25)Nei settori caratterizzati dalla concentrazione di un piccolo numero di fabbricanti che riforniscono gli utenti finali, le opzioni a disposizione degli utenti per quanto riguarda la condivisione dei dati con tali fabbricanti sono limitate. In tali circostanze gli accordi contrattuali possono essere insufficienti per conseguire l'obiettivo di conferire maggiori poteri agli utenti. I dati tendono a rimanere sotto il controllo dei fabbricanti, rendendo difficile per gli utenti ottenere valore dai dati generati dalle apparecchiature che acquistano o noleggiano. Di conseguenza le piccole imprese innovative hanno un potenziale limitato nell'offrire soluzioni basate sui dati in modo competitivo e a favore di un'economia dei dati diversificata in Europa. Il presente regolamento dovrebbe pertanto basarsi sui recenti sviluppi in settori specifici, come il codice di condotta sulla condivisione dei dati agricoli mediante accordo contrattuale. Potrebbe dunque essere presentata una normativa settoriale per rispondere alle necessità e agli obiettivi settoriali specifici. Inoltre il titolare dei dati non dovrebbe utilizzare dati generati dall'uso del prodotto o del servizio correlato al fine di ottenere informazioni sulla situazione economica, sulle risorse o sui metodi di produzione o sull'utilizzo dell'utente in qualsiasi altro modo che possa compromettere la posizione commerciale dell'utente sui mercati in cui è attivo. Ciò riguarderebbe ad esempio l'utilizzo di conoscenze sulle prestazioni complessive di un'impresa o di un'azienda agricola in trattative contrattuali con l'utente in merito alla potenziale acquisizione dei prodotti o della produzione agricola dell'utente a danno di quest'ultimo, o l'utilizzo di tali informazioni per alimentare banche di dati più ampie su alcuni mercati in forma aggregata (ad esempio, banche di dati sulle rese delle colture per la prossima stagione di raccolta), in quanto tale utilizzo potrebbe incidere negativamente sull'utente in modo indiretto. L'utente dovrebbe disporre dell'interfaccia tecnica necessaria per gestire le autorizzazioni, preferibilmente con opzioni di autorizzazione dettagliate (come "consenti una sola volta" o "consenti l'utilizzo di questa app o servizio"), compresa la possibilità di revocare l'autorizzazione.

(26)Nei contratti tra un titolare dei dati e un consumatore in quanto utente di un prodotto o di un servizio correlato che genera dati, la direttiva 93/13/CEE si applica alle clausole del contratto per garantire che il consumatore non sia soggetto a clausole contrattuali abusive. Per le clausole contrattuali abusive imposte unilateralmente a una microimpresa, piccola o media impresa quale definita all'articolo 2 dell'allegato della raccomandazione 2003/361/CE 63 , il presente regolamento prevede che tali clausole abusive non siano vincolanti per tale impresa.

(27)Il titolare dei dati può richiedere un'adeguata identificazione dell'utente per verificare il diritto dell'utente di accedere ai dati. Nel caso di dati personali trattati da un responsabile del trattamento per conto del titolare del trattamento, il titolare dei dati dovrebbe garantire che la richiesta di accesso sia ricevuta e trattata dal responsabile del trattamento.

(28)L'utente dovrebbe essere libero di utilizzare i dati per qualsiasi finalità legittima. Ciò include la fornitura dei dati che l'utente ha ricevuto nell'esercizio del diritto di cui al presente regolamento a un terzo che offre un servizio post-vendita che può essere in concorrenza con un servizio fornito dal titolare dei dati, o l'incarico al titolare dei dati di agire in tal senso. Il titolare dei dati dovrebbe garantire che i dati messi a disposizione del terzo siano tanto accurati, completi, affidabili, pertinenti e aggiornati quanto i dati ai quali il titolare stesso può essere in grado o avere il diritto di accedere in virtù dell'uso del prodotto o del servizio correlato. Nel trattamento dei dati dovrebbero essere rispettati eventuali segreti commerciali o diritti di proprietà intellettuale. È importante mantenere gli incentivi a investire in prodotti con funzionalità basate sull'uso di dati provenienti da sensori integrati in tale prodotto. L'obiettivo del presente regolamento dovrebbe pertanto essere inteso nel senso di promuovere lo sviluppo di prodotti o di servizi correlati nuovi e innovativi, stimolare l'innovazione nei servizi post-vendita, ma anche stimolare lo sviluppo di servizi completamente nuovi che utilizzano i dati, anche sulla base di dati provenienti da una varietà di prodotti o servizi correlati. Allo stesso tempo, esso mira a evitare di compromettere gli incentivi agli investimenti per il tipo di prodotto da cui i dati sono ottenuti, ad esempio mediante l'uso di dati per sviluppare un prodotto concorrente.

(29)Un terzo cui sono resi disponibili i dati può essere un'impresa, un istituto di ricerca o un'organizzazione senza scopo di lucro. Nel mettere i dati a disposizione del terzo, il titolare dei dati non dovrebbe abusare della sua posizione per cercare di ottenere un vantaggio competitivo in mercati in cui il titolare dei dati e il terzo possono trovarsi in concorrenza diretta. Pertanto il titolare dei dati non dovrebbe utilizzare dati generati dall'uso del prodotto o del servizio correlato al fine di ottenere informazioni sulla situazione economica, sulle risorse o sui metodi di produzione o sull'utilizzo del terzo in qualsiasi altro modo che possa compromettere la posizione commerciale del terzo sui mercati in cui è attivo.

(30)In particolare quando l'utente è una persona fisica, l'uso di un prodotto o di un servizio correlato può generare dati che si riferiscono a una persona fisica identificata o identificabile (l'interessato). Il trattamento di tali dati è soggetto alle norme stabilite ai sensi del regolamento (UE) 2016/679, anche qualora i dati personali e non personali all'interno di un insieme di dati siano indissolubilmente legati 64 . L'interessato può essere l'utente o un'altra persona fisica. I dati personali possono essere richiesti solo da un titolare del trattamento o da un interessato. A norma del regolamento (UE) 2016/679, un utente che è l'interessato ha, in determinate circostanze, il diritto di accedere ai dati personali che lo riguardano e tale diritto non è pregiudicato dal presente regolamento. A norma del presente regolamento l'utente che è una persona fisica ha inoltre il diritto di accedere a tutti i dati generati dal prodotto, personali e non personali. Se l'utente non è l'interessato ma un'impresa, compreso un operatore commerciale individuale, e non nei casi di uso domestico condiviso del prodotto, l'utente sarà un titolare del trattamento ai sensi del regolamento (UE) 2016/679. Di conseguenza tale utente, in qualità di titolare del trattamento che intenda richiedere dati personali generati dall'uso di un prodotto o di un servizio correlato, deve disporre di una base giuridica per il trattamento dei dati a norma dell'articolo 6, paragrafo 1, del regolamento (UE) 2016/679, come il consenso dell'interessato o un legittimo interesse. Tale utente dovrebbe garantire che l'interessato sia adeguatamente informato delle finalità specificate, esplicite e legittime del trattamento di tali dati e del modo in cui l'interessato può effettivamente esercitare i propri diritti. Il titolare dei dati e l'utente, se sono contitolari del trattamento ai sensi dell'articolo 26 del regolamento (UE) 2016/679, sono tenuti a determinare in modo trasparente, mediante un accordo tra loro, le rispettive responsabilità in materia di conformità a tale regolamento. Dovrebbe restare inteso che tale utente, una volta resi disponibili i dati, può a sua volta diventare titolare dei dati se soddisfa i criteri di cui al presente regolamento e divenire così soggetto all'obbligo di mettere a disposizione i dati a norma del presente regolamento.

(31)I dati generati dall'uso di un prodotto o di un servizio correlato dovrebbero essere messi a disposizione di terzi solo su richiesta dell'utente. Il presente regolamento integra di conseguenza il diritto di cui all'articolo 20 del regolamento (UE) 2016/679. Tale articolo prevede il diritto degli interessati di ricevere i dati personali che li riguardano in un formato strutturato, di uso comune e leggibile da dispositivo automatico e di trasmettere tali dati ad altri titolari del trattamento, qualora il trattamento di tali dati sia basato sull'articolo 6, paragrafo 1, lettera a), o sull'articolo 9, paragrafo 2, lettera a), o su un contratto ai sensi dell'articolo 6, paragrafo 1, lettera b). Gli interessati hanno inoltre il diritto di ottenere che i dati personali siano trasmessi direttamente da un titolare del trattamento a un altro, ma solo ove tecnicamente fattibile. L'articolo 20 specifica che esso riguarda i dati forniti dall'interessato, ma non chiarisce se ciò richieda un comportamento attivo da parte dell'interessato o se si applichi anche a situazioni in cui un prodotto o un servizio correlato osservi, in conseguenza delle sue caratteristiche di progettazione, il comportamento di un interessato o altre informazioni relative all'interessato in modo passivo. Il diritto di cui al presente regolamento integra in vari modi il diritto di ricevere i dati personali e il diritto alla portabilità degli stessi a norma dell'articolo 20 del regolamento (UE) 2016/679. Esso conferisce agli utenti il diritto di accedere a tutti i dati generati dall'uso di un prodotto o di un servizio correlato, e di metterli a disposizione di terzi, indipendentemente dalla loro natura di dati personali, dalla distinzione tra dati forniti attivamente o osservati passivamente e dalla base giuridica del trattamento. A differenza degli obblighi tecnici di cui all'articolo 20 del regolamento (UE) 2016/679, il presente regolamento impone e garantisce la fattibilità tecnica dell'accesso di terzi a tutti i tipi di dati che rientrano nel suo ambito di applicazione, siano essi personali o non personali. Consente inoltre al titolare dei dati di fissare un compenso ragionevole a carico di terzi, ma non dell'utente, per eventuali costi sostenuti per fornire un accesso diretto ai dati generati dal prodotto dell'utente. Se un titolare dei dati e un terzo non sono in grado di concordare le condizioni di tale accesso diretto, all'interessato non dovrebbe essere in alcun modo impedito di esercitare i diritti di cui al regolamento (UE) 2016/679, compreso il diritto alla portabilità dei dati, esperendo i mezzi di ricorso in conformità a tale regolamento. In tale contesto resta inteso che, conformemente al regolamento (UE) 2016/679, un accordo contrattuale non consente il trattamento di categorie particolari di dati personali da parte del titolare dei dati o del terzo.

(32)L'accesso ai dati conservati nelle apparecchiature terminali e consultati da tali apparecchiature è soggetto alla direttiva 2002/58/CE e richiede il consenso dell'abbonato o dell'utente ai sensi di tale direttiva, a meno che non sia strettamente necessario per la fornitura di un servizio della società dell'informazione esplicitamente richiesto dall'utente o dall'abbonato (o al solo scopo della trasmissione di una comunicazione). La direttiva 2002/58/CE ("direttiva relativa alla vita privata e alle comunicazioni elettroniche") (e la proposta di regolamento sulla vita privata e le comunicazioni elettroniche) tutela l'integrità delle apparecchiature terminali dell'utente per quanto riguarda l'uso delle capacità di trattamento e archiviazione e la raccolta di informazioni. Le apparecchiature per l'internet delle cose sono considerate apparecchiature terminali se sono direttamente o indirettamente collegate a una rete pubblica di comunicazione.

(33)Al fine di impedire lo sfruttamento degli utenti, i terzi a disposizione dei quali sono stati messi i dati su richiesta dell'utente dovrebbero trattare i dati solo per le finalità concordate con l'utente e condividerli con un altro terzo solo se ciò è necessario per fornire il servizio richiesto dall'utente.

(34)In linea con il principio della minimizzazione dei dati, il terzo dovrebbe accedere solo alle informazioni supplementari necessarie per la fornitura del servizio richiesto dall'utente. Una volta ricevuto l'accesso ai dati, il terzo dovrebbe trattarli esclusivamente per le finalità concordate con l'utente, senza interferenze da parte del titolare dei dati. Per l'utente, rifiutare o interrompere l'accesso ai dati da parte di terzi dovrebbe essere altrettanto facile quanto autorizzare l'accesso. Il terzo non dovrebbe ricorrere in nessun modo a mezzi coercitivi, ingannevoli o manipolatori nei confronti dell'utente, sovvertendone o pregiudicandone l'autonomia, il processo decisionale o le scelte, anche mediante un'interfaccia digitale con l'utente. In tale contesto, i terzi non dovrebbero fare affidamento sui cosiddetti dark patterns nella progettazione delle loro interfacce digitali. I dark patterns sono tecniche di progettazione che ingannano i consumatori spingendoli verso decisioni che hanno conseguenze negative per loro. Queste tecniche di manipolazione possono essere utilizzate per persuadere gli utenti, in particolare i consumatori vulnerabili, ad adottare comportamenti indesiderati, per indurli con l'inganno a prendere decisioni in favore di operazioni di divulgazione dei dati, o per distorcere indebitamente il processo decisionale degli utenti del servizio, in modo da sovvertirne e pregiudicarne l'autonomia, il processo decisionale e la scelta. Le pratiche commerciali comuni e legittime che sono conformi al diritto dell'Unione non dovrebbero di per sé essere considerate dark patterns. I terzi dovrebbero rispettare i loro obblighi ai sensi del pertinente diritto dell'Unione, in particolare gli obblighi di cui alla direttiva 2005/29/CE, alla direttiva 2011/83/UE, alla direttiva 2000/31/CE e alla direttiva 98/6/CE.

(35)Il terzo dovrebbe inoltre astenersi dall'utilizzare i dati per la profilazione delle persone, a meno che tali attività di trattamento non siano strettamente necessarie per fornire il servizio richiesto dall'utente. L'obbligo di cancellare i dati quando non sono più necessari per la finalità concordata con l'utente integra il diritto dell'interessato alla cancellazione a norma dell'articolo 17 del regolamento (UE) 2016/679. Se il terzo è un fornitore di un servizio di intermediazione dei dati ai sensi dell'[atto sulla governance dei dati], si applicano le garanzie per l'interessato previste da tale regolamento. Il terzo può utilizzare i dati per sviluppare un prodotto o un servizio correlato nuovo e innovativo, ma non per sviluppare un prodotto concorrente.

(36)Le start-up, le piccole e medie imprese e le imprese dei settori tradizionali con capacità digitali meno sviluppate faticano a ottenere l'accesso ai dati pertinenti. Il presente regolamento mira ad agevolare l'accesso ai dati per tali soggetti, garantendo nel contempo che gli obblighi corrispondenti abbiano un ambito di applicazione quanto più proporzionato possibile, al fine di evitare eccessi. Allo stesso tempo è emerso un piccolo numero di imprese molto grandi con un notevole potere economico nell'economia digitale, ottenuto grazie all'accumulo e all'aggregazione di grandi volumi di dati e all'infrastruttura tecnologica per la loro monetizzazione. Tra queste si annoverano imprese che forniscono servizi di piattaforma di base che controllano interi ecosistemi di piattaforme nell'economia digitale e che gli operatori di mercato esistenti o nuovi non sono in grado di sfidare o contrastare. Il [regolamento relativo a mercati equi e contendibili nel settore digitale (legge sui mercati digitali)] mira a correggere tali inefficienze e squilibri consentendo alla Commissione di designare un fornitore come "gatekeeper" e impone una serie di obblighi a tali gatekeeper designati, tra cui il divieto di combinare determinati dati senza consenso e l'obbligo di garantire diritti effettivi alla portabilità dei dati a norma dell'articolo 20 del regolamento (UE) 2016/679. In linea con il [regolamento relativo a mercati equi e contendibili nel settore digitale (legge sui mercati digitali)] e data la capacità inarrivabile di tali imprese di acquisire dati, non sarebbe necessario conseguire l'obiettivo del presente regolamento e sarebbe pertanto sproporzionato rispetto ai titolari dei dati soggetti a tali obblighi includere tali imprese gatekeeper quali beneficiari del diritto di accesso ai dati. Ciò significa che un'impresa che fornisce servizi di piattaforma di base e che è stata designata come gatekeeper non può chiedere o ottenere l'accesso ai dati degli utenti generati dall'uso di un prodotto o di un servizio correlato o da un assistente virtuale sulla base delle disposizioni del capo II del presente regolamento. Un'impresa che fornisce servizi di piattaforma di base e che è designata come gatekeeper a norma della legge sui mercati digitali dovrebbe essere intesa come comprendente tutte le entità giuridiche di un gruppo di società in cui un'unica entità giuridica fornisce un servizio di piattaforma di base. Inoltre i terzi cui i dati sono messi a disposizione su richiesta dell'utente non possono mettere i dati a disposizione di un gatekeeper designato. Ad esempio, il terzo non può subappaltare la fornitura di servizi a un gatekeeper. Ciò non impedisce tuttavia a terzi di utilizzare i servizi di trattamento dei dati offerti da un gatekeeper designato. Tale esclusione dei gatekeeper designati dall'ambito di applicazione del diritto di accesso ai sensi del presente regolamento non impedisce a tali imprese di ottenere dati mediante altri mezzi legittimi.

(37)Dato lo stato attuale della tecnologia, è eccessivamente oneroso imporre ulteriori obblighi di progettazione in relazione ai prodotti fabbricati o progettati e ai servizi correlati forniti dalle microimprese e dalle piccole imprese. Ciò non si verifica tuttavia nel caso in cui la fabbricazione o la progettazione di un prodotto sia subappaltata a una microimpresa o a una piccola impresa. In tali situazioni, l'impresa che ha subappaltato alla microimpresa o alla piccola impresa è in grado di compensare adeguatamente il subcontraente. Una microimpresa o una piccola impresa può tuttavia essere soggetta agli obblighi stabiliti dal presente regolamento in qualità di titolare dei dati, qualora non sia il fabbricante del prodotto o un fornitore di servizi correlati.

(38)Il presente regolamento contiene norme generali di accesso ogniqualvolta il titolare dei dati sia tenuto per legge a mettere i dati a disposizione di un destinatario dei dati. Tale accesso dovrebbe essere basato su condizioni eque, ragionevoli, non discriminatorie e trasparenti per garantire la coerenza delle pratiche di condivisione dei dati nel mercato interno, anche a livello intersettoriale, e per incoraggiare e promuovere pratiche eque di condivisione dei dati anche negli ambiti in cui tale diritto di accesso ai dati non è previsto. Tali norme generali di accesso non si applicano agli obblighi di messa a disposizione dei dati a norma del regolamento (UE) 2016/679. La condivisione volontaria dei dati rimane impregiudicata da tali norme.

(39)Sulla base del principio della libertà contrattuale, le parti dovrebbero rimanere libere di negoziare le condizioni precise per la messa a disposizione dei dati nei loro contratti, nel quadro delle norme generali di accesso per la messa a disposizione dei dati.

(40)Al fine di garantire che le condizioni per l'accesso obbligatorio ai dati siano eque per entrambe le parti, le norme generali sui diritti di accesso ai dati dovrebbero fare riferimento alla norma volta a evitare le clausole contrattuali abusive.

(41)Al fine di compensare la mancanza di informazioni sulle condizioni di contratti diversi, che rende difficile per il destinatario dei dati valutare se le clausole relative alla messa a disposizione dei dati siano non discriminatorie, dovrebbe spettare al titolare dei dati dimostrare che una clausola contrattuale non è discriminatoria. Non si configura una discriminazione illecita quando il titolare dei dati utilizza clausole contrattuali diverse per la messa a disposizione dei dati o un compenso diverso, se tali differenze sono giustificate da ragioni oggettive. Tali obblighi lasciano impregiudicato il regolamento (UE) 2016/679.

(42)Al fine di incentivare il mantenimento degli investimenti nella generazione di dati preziosi, compresi gli investimenti in strumenti tecnici pertinenti, il presente regolamento include il principio secondo cui il titolare dei dati può chiedere un compenso ragionevole se è giuridicamente obbligato a mettere i dati a disposizione del destinatario dei dati. Queste disposizioni non dovrebbero essere intese come il pagamento dei dati stessi, bensì, nel caso delle microimprese, delle piccole o medie imprese, come il pagamento dei costi sostenuti e degli investimenti necessari per la messa a disposizione dei dati.

(43)In casi giustificati, tra cui la necessità di salvaguardare la partecipazione dei consumatori e la concorrenza o di promuovere l'innovazione in determinati mercati, possono essere imposti dal diritto dell'Unione o dalla legislazione nazionale di attuazione del diritto dell'Unione compensi regolamentati per la messa a disposizione di tipi di dati specifici.

(44)Al fine di proteggere le microimprese e le piccole e medie imprese da oneri economici eccessivi che renderebbero troppo difficile dal punto di vista commerciale lo sviluppo e la gestione di modelli imprenditoriali innovativi, il compenso che tali imprese devono pagare per la messa a disposizione dei dati non dovrebbe essere superiore al costo diretto della messa a disposizione dei dati e non dovrebbe essere discriminatorio.

(45)I costi diretti per la messa a disposizione dei dati sono i costi necessari per la riproduzione, la diffusione per via elettronica e la conservazione dei dati, ma non per la raccolta o la produzione dei dati. I costi diretti per la messa a disposizione dei dati dovrebbero limitarsi alla quota imputabile alle singole richieste, tenuto conto del fatto che il titolare dei dati dovrà predisporre in via definitiva le interfacce tecniche necessarie o il software e la connettività correlati. Accordi a lungo termine tra i titolari dei dati e i destinatari dei dati, ad esempio mediante un modello di abbonamento, potrebbero ridurre i costi connessi alla messa a disposizione dei dati in operazioni regolari o ripetitive nell'ambito di una relazione d'affari.

(46)Non è necessario intervenire in caso di condivisione dei dati tra grandi imprese o quando il titolare dei dati è una piccola o media impresa e il destinatario dei dati è una grande impresa. In tali casi si ritiene che le società siano in grado di negoziare un compenso, se ragionevole, tenendo conto di fattori quali il volume, il formato, la natura o l'offerta e la domanda dei dati nonché i costi per la raccolta e la messa a disposizione degli stessi al destinatario.

(47)La trasparenza è un principio importante per garantire che il compenso richiesto dal titolare dei dati sia ragionevole o, nel caso in cui il destinatario dei dati sia una microimpresa o una piccola o media impresa, che il compenso non sia superiore ai costi direttamente connessi alla messa a disposizione dei dati al destinatario e sia imputabile alla singola richiesta. Al fine di consentire al destinatario dei dati di valutare e verificare la conformità del compenso alle prescrizioni del presente regolamento è opportuno che il titolare dei dati fornisca al destinatario dei dati informazioni sufficientemente dettagliate per il calcolo del compenso.

(48)La garanzia dell'accesso a modalità alternative di risoluzione delle controversie nazionali e transfrontaliere che insorgono in relazione alla messa a disposizione dei dati dovrebbe apportare benefici a titolari e destinatari dei dati, rafforzando in tal modo la fiducia nella condivisione dei dati. Qualora le parti non concordino condizioni eque, ragionevoli e non discriminatorie per la messa a disposizione dei dati, è opportuno che gli organi di risoluzione delle controversie propongano alle parti una soluzione semplice, rapida e a basso costo.

(49)Per evitare che due o più organi di risoluzione delle controversie siano aditi per la stessa controversia, in particolare in un contesto transfrontaliero, è opportuno che un organo di risoluzione delle controversie possa respingere una richiesta di risoluzione di una controversia già presentata dinanzi a un altro organo di risoluzione delle controversie o dinanzi a un organo giurisdizionale di uno Stato membro.

(50)È opportuno che alle parti dei procedimenti di risoluzione delle controversie non sia impedito di esercitare i propri diritti fondamentali a un ricorso effettivo e a un giudice imparziale. Pertanto la decisione di sottoporre una controversia a un organismo di risoluzione delle controversie non dovrebbe privare tali parti del loro diritto di presentare ricorso dinanzi a un organo giurisdizionale di uno Stato membro.

(51)Se una parte si trova in una posizione negoziale più forte, vi è il rischio che tale parte possa sfruttare la propria posizione a scapito dell'altra parte contraente nel negoziare l'accesso ai dati, rendendolo commercialmente meno redditizio e talvolta economicamente proibitivo. Tali squilibri contrattuali danneggiano in particolare le microimprese e le piccole e medie imprese che non hanno una capacità significativa di negoziare le condizioni di accesso ai dati e che possono non avere altra scelta se non quella di accettare clausole contrattuali "prendere o lasciare". È pertanto opportuno che le clausole contrattuali abusive che disciplinano l'accesso ai dati e il loro utilizzo o la responsabilità e i mezzi di ricorso per la violazione o la cessazione degli obblighi relativi ai dati non siano vincolanti per le microimprese e le piccole o medie imprese qualora siano state imposte unilateralmente.

(52)Le norme sulle clausole contrattuali dovrebbero tenere conto del principio della libertà contrattuale quale concetto essenziale nelle relazioni tra imprese. È pertanto opportuno che non tutte le clausole contrattuali siano soggette a un test di abusività, ma solo quelle imposte unilateralmente alle microimprese e alle piccole e medie imprese. Ciò riguarda le situazioni "prendere o lasciare" nelle quali una parte propone una determinata clausola contrattuale e la microimpresa o la piccola o media impresa non può influenzarne il contenuto malgrado un tentativo di negoziarla. Una clausola contrattuale semplicemente proposta da una parte e accettata dalla microimpresa o dalla piccola o media impresa o una clausola negoziata e successivamente concordata in una versione modificata tra le parti contraenti non dovrebbe essere considerata una clausola imposta unilateralmente.

(53)È inoltre opportuno che le norme sulle clausole contrattuali abusive si applichino solo agli elementi di un contratto relativi alla messa a disposizione dei dati, vale a dire le clausole contrattuali riguardanti l'accesso ai dati e il loro utilizzo, nonché la responsabilità o i mezzi di ricorso in caso di violazione e cessazione degli obblighi relativi ai dati. Altre parti dello stesso contratto, non correlate alla messa a disposizione dei dati, non dovrebbero essere soggette al test di abusività di cui al presente regolamento.

(54)È opportuno applicare i criteri per l'individuazione delle clausole contrattuali abusive solo alle clausole contrattuali eccessive, in caso di abuso di una posizione negoziale più forte. La stragrande maggioranza delle clausole contrattuali che dal punto di vista commerciale sono più favorevoli a una parte rispetto all'altra, comprese quelle che sono normali nei contratti tra imprese, sono una normale espressione del principio della libertà contrattuale e continuano ad applicarsi.

(55)Se una clausola contrattuale non è inclusa nell'elenco delle clausole che sono sempre considerate abusive o che si presumono abusive si applica la disposizione generale sul carattere abusivo. A tale riguardo le clausole che figurano nell'elenco delle clausole abusive dovrebbero servire da parametro per l'interpretazione della disposizione generale sul carattere abusivo. Infine, le clausole contrattuali tipo per i contratti di condivisione dei dati tra imprese che devono essere elaborate e raccomandate dalla Commissione possono essere utili anche alle parti commerciali in sede di negoziazione dei contratti.

(56)In situazioni di necessità eccezionale può presentarsi l'esigenza, per gli enti pubblici o le istituzioni, le agenzie o gli organismi dell'Unione, di utilizzare i dati detenuti da un'impresa, per rispondere a emergenze pubbliche o in altri casi eccezionali. Le organizzazioni che svolgono attività di ricerca e le organizzazioni che finanziano la ricerca potrebbero anche essere costituite nella forma di enti pubblici od organismi di diritto pubblico. Per limitare l'onere a carico delle imprese, è opportuno che le microimprese e le piccole imprese siano esentate dall'obbligo di fornire dati a enti pubblici e a istituzioni, agenzie od organismi dell'Unione in situazioni di necessità eccezionale.

(57)In caso di emergenze pubbliche, come le emergenze sanitarie, le emergenze derivanti dal degrado ambientale e da gravi calamità naturali, comprese quelle aggravate dai cambiamenti climatici, nonché le gravi catastrofi provocate dall'uomo, come i gravi incidenti di cibersicurezza, l'interesse pubblico derivante dall'utilizzo dei dati prevale sugli interessi dei titolari dei dati a disporre liberamente dei dati in loro possesso. In tal caso è opportuno che ai titolari dei dati sia imposto l'obbligo di mettere i dati a disposizione di enti pubblici o di istituzioni, agenzie o organismi dell'Unione su loro richiesta. L'esistenza di un'emergenza pubblica è determinata secondo le rispettive procedure degli Stati membri o delle organizzazioni internazionali competenti.

(58)Una necessità eccezionale può presentarsi anche quando un ente pubblico può dimostrare che i dati sono necessari per prevenire un'emergenza pubblica o per favorire la ripresa in circostanze ragionevolmente prossime all'emergenza pubblica in questione. Qualora la necessità eccezionale non sia giustificata dall'esigenza di rispondere a un'emergenza pubblica, prevenirla o favorire la ripresa da tale emergenza, è opportuno che l'ente pubblico o l'istituzione, l'agenzia o l'organismo dell'Unione dimostrino che il mancato accesso tempestivo ai dati richiesti e il mancato utilizzo di tali dati impediscano loro di svolgere efficacemente un compito specifico di interesse pubblico espressamente previsto per legge. Tale necessità eccezionale può verificarsi anche in altre situazioni, ad esempio in relazione alla compilazione tempestiva di statistiche ufficiali quando i dati non sono altrimenti disponibili o quando l'onere gravante sui rispondenti sarà notevolmente ridotto. È allo stesso tempo opportuno che l'ente pubblico o l'istituzione, l'agenzia o l'organismo dell'Unione dimostri, nei casi in cui non si tratta di rispondere a un'emergenza pubblica, di prevenirla o di favorire la ripresa, che non esistono mezzi alternativi per ottenere i dati richiesti e che non è possibile ottenere tempestivamente i dati sancendo i necessari obblighi di trasmissione dei dati mediante nuove normative.

(59)Il presente regolamento non dovrebbe applicarsi agli accordi volontari per lo scambio di dati tra soggetti pubblici e privati né pregiudicarli. Esso non dovrebbe inoltre incidere sugli obblighi imposti ai titolari dei dati in relazione alla fornitura di dati a fronte di necessità di natura non eccezionale, in particolare quando la gamma di dati e di titolari dei dati è nota e se l'utilizzo dei dati può aver luogo regolarmente, come nel caso degli obblighi di comunicazione e degli obblighi relativi al mercato interno. Il presente regolamento non dovrebbe incidere neppure sugli obblighi di accesso ai dati per verificare la conformità alle norme applicabili, anche nei casi in cui gli enti pubblici assegnano il compito di verificare la conformità a soggetti che non sono enti pubblici.

(60)Per l'esercizio delle loro funzioni nei settori della prevenzione, dell'indagine, dell'accertamento o del perseguimento dei reati penali e amministrativi, dell'esecuzione di sanzioni penali e amministrative, nonché della raccolta di dati a fini fiscali o doganali, è opportuno che gli enti pubblici e le istituzioni, le agenzie e gli organismi dell'Unione si avvalgano dei poteri loro conferiti dalla normativa settoriale. Il presente regolamento non pregiudica pertanto gli strumenti per la condivisione, l'accesso e l'utilizzo dei dati in tali settori.

(61)Un quadro proporzionato, limitato e prevedibile a livello dell'Unione è necessario affinché, a fronte di necessità eccezionali, i titolari dei dati mettano i dati a disposizione degli enti pubblici e delle istituzioni, delle agenzie o degli organismi dell'Unione, sia per garantire la certezza del diritto sia per ridurre al minimo gli oneri amministrativi a carico delle imprese. A tal fine è opportuno che le richieste di dati da parte degli enti pubblici e delle istituzioni, delle agenzie e degli organismi dell'Unione ai titolari dei dati siano trasparenti e proporzionate in termini di contenuto e granularità. La finalità della richiesta e l'utilizzo previsto dei dati richiesti dovrebbero essere specifici e spiegati in modo chiaro e al tempo stesso garantire al soggetto richiedente un'adeguata flessibilità nello svolgimento dei suoi compiti nell'interesse pubblico. La richiesta dovrebbe inoltre rispettare i legittimi interessi delle imprese cui è rivolta. È opportuno che l'onere per i titolari dei dati sia ridotto al minimo obbligando i soggetti richiedenti a rispettare il principio "una tantum", il quale impedisce che gli stessi dati siano richiesti più di una volta da più di un ente pubblico o istituzione, agenzia o organismo dell'Unione qualora tali dati siano necessari per rispondere a un'emergenza pubblica. Per garantire la trasparenza, le richieste di dati presentate da enti pubblici e da istituzioni, agenzie o organismi dell'Unione dovrebbero essere rese pubbliche senza indebito ritardo dal soggetto che richiede i dati e dovrebbe essere garantita la disponibilità pubblica online di tutte le richieste giustificate da un'emergenza pubblica.

(62)L'obiettivo dell'obbligo di trasmettere i dati è garantire che gli enti pubblici e le istituzioni, le agenzie o gli organismi dell'Unione dispongano delle conoscenze necessarie per rispondere alle emergenze pubbliche, prevenirle o favorire la ripresa o per mantenere la capacità di svolgere compiti specifici espressamente previsti dalla legge. I dati ottenuti da tali soggetti possono essere sensibili sotto il profilo commerciale. Pertanto la direttiva (UE) 2019/1024 del Parlamento europeo e del Consiglio 65 non dovrebbe applicarsi ai dati resi disponibili a norma del presente regolamento e gli stessi dati non dovrebbero considerarsi dati aperti disponibili per il riutilizzo da parte di terzi. Ciò non dovrebbe tuttavia pregiudicare l'applicabilità della direttiva (UE) 2019/1024 al riutilizzo delle statistiche ufficiali per la cui produzione sono stati utilizzati i dati ottenuti a norma del presente regolamento, a condizione che il riutilizzo non riguardi i dati sottostanti. Dovrebbe inoltre rimanere impregiudicata la possibilità di condividere i dati a fini di ricerca o elaborazione di statistiche ufficiali, purché siano soddisfatte le condizioni stabilite nel presente regolamento. È inoltre opportuno che gli enti pubblici siano autorizzati a scambiare i dati ottenuti a norma del presente regolamento con altri enti pubblici per far fronte alle necessità eccezionali per le quali i dati sono stati richiesti.

(63)È opportuno che i titolari dei dati abbiano la possibilità di chiedere una modifica della richiesta presentata da un ente pubblico o da un'istituzione, un'agenzia e un organismo dell'Unione o la sua cancellazione entro un periodo di 5 o 15 giorni lavorativi a seconda della natura della necessità eccezionale invocata nella richiesta. In caso di richieste motivate da un'emergenza pubblica, dovrebbe sussistere un motivo giustificato per non mettere a disposizione i dati se si può dimostrare che la richiesta è simile o identica a una richiesta presentata in precedenza allo stesso scopo da altri enti pubblici o istituzioni, agenzie o organismi dell'Unione. È opportuno che il titolare dei dati che respinge la richiesta o ne chiede la modifica comunichi le motivazioni alla base del rifiuto della richiesta all'ente pubblico o all'istituzione, all'agenzia o all'organismo dell'Unione che richiede i dati. Nel caso in cui i diritti "sui generis" sulle banche di dati di cui alla direttiva 96/6/CE del Parlamento europeo e del Consiglio 66 si applichino in relazione ai set di dati richiesti è opportuno che i titolari dei dati esercitino i loro diritti in modo da non impedire all'ente pubblico e alle istituzioni, alle agenzie o agli organismi dell'Unione di ottenere i dati, o di condividerli, in conformità del presente regolamento.

(64)Qualora sia assolutamente necessario includere dati personali nei dati messi a disposizione di un ente pubblico o di un'istituzione, un'agenzia o un organismo dell'Unione, le norme applicabili in materia di protezione dei dati personali dovrebbero essere rispettate e la messa a disposizione dei dati e il loro successivo utilizzo dovrebbero essere accompagnati da garanzie per i diritti e gli interessi delle persone interessate da tali dati. È opportuno che l'organismo che richiede i dati dimostri l'assoluta necessità e le finalità specifiche e limitate del trattamento. È opportuno che il titolare dei dati si adoperi ragionevolmente per rendere anonimi i dati o, qualora tale anonimizzazione si riveli impossibile, che adotti mezzi tecnologici quali la pseudonimizzazione e l'aggregazione prima di mettere a disposizione i dati.

(65)I dati messi a disposizione di enti pubblici e di istituzioni, agenzie e organismi dell'Unione sulla base di necessità eccezionali dovrebbero essere utilizzati solo per la finalità per la quale sono stati richiesti, a meno che il titolare dei dati che ha messo a disposizione i dati non abbia espressamente acconsentito a che i dati siano utilizzati per altre finalità. I dati dovrebbero essere distrutti quando non sono più necessari per la finalità indicata nella richiesta, salvo diverso accordo, e il titolare dei dati dovrebbe esserne informato.

(66)Nel riutilizzare i dati forniti dai titolari dei dati, è opportuno che gli enti pubblici e le istituzioni, le agenzie o gli organismi dell'Unione rispettino sia la legislazione applicabile sia gli obblighi contrattuali vigenti cui è soggetto il titolare dei dati. Qualora la divulgazione dei segreti commerciali del titolare dei dati a enti pubblici o a istituzioni, agenzie o organismi dell'Unione sia assolutamente necessaria per conseguire la finalità per la quale sono stati richiesti i dati, al titolare dei dati dovrebbe essere garantita la riservatezza di tale divulgazione.

(67)Quando è in gioco la salvaguardia di un bene pubblico significativo, come in caso di risposta a emergenze pubbliche, l'ente pubblico o l'istituzione, l'agenzia o l'organismo dell'Unione non dovrebbero essere tenuti a versare un compenso alle imprese per i dati ottenuti. Le emergenze pubbliche sono eventi rari e non tutte richiedono l'utilizzo di dati in possesso delle imprese. È pertanto improbabile che le attività commerciali dei titolari dei dati siano influenzate negativamente dal ricorso al presente regolamento da parte degli enti pubblici o delle istituzioni, delle agenzie o degli organismi dell'Unione. Tuttavia, poiché le situazioni di necessità eccezionale diverse dalla risposta a un'emergenza pubblica potrebbero essere più frequenti, compresi i casi riguardanti la prevenzione di un'emergenza pubblica o la relativa ripresa, è opportuno che in tali circostanze i titolari dei dati abbiano diritto a un compenso ragionevole che non dovrebbe essere superiore ai costi tecnici e organizzativi sostenuti per soddisfare la richiesta e al ragionevole margine necessario per mettere i dati a disposizione dell'ente pubblico o dell'istituzione, dell'agenzia o dell'organismo dell'Unione. Il compenso non dovrebbe intendersi come un pagamento per i dati stessi e come obbligatorio.

(68)L'ente pubblico o l'istituzione, l'agenzia o l'organismo dell'Unione può condividere i dati ottenuti a seguito della richiesta con altre entità o persone qualora ciò sia necessario per svolgere attività di ricerca scientifica o attività analitiche che non può svolgere autonomamente. Nelle stesse circostanze tali dati possono essere condivisi anche con gli istituti nazionali di statistica e con Eurostat per l'elaborazione di statistiche ufficiali. Tali attività di ricerca dovrebbero tuttavia essere compatibili con la finalità per la quale sono stati richiesti i dati e il titolare dei dati dovrebbe essere informato in merito all'ulteriore condivisione dei dati che aveva fornito. È opportuno che le persone che svolgono attività di ricerca o gli istituti di ricerca con cui tali dati possono essere condivisi agiscano senza scopo di lucro o nell'ambito di una missione di interesse pubblico riconosciuta dallo Stato. Non si dovrebbero considerare istituti di ricerca ai fini del presente regolamento quelli su cui imprese commerciali abbiano un'influenza tanto determinante da consentire loro di esercitare, per ragioni strutturali, un controllo da cui potrebbe derivare un accesso preferenziale ai risultati della ricerca.

(69)La capacità dei clienti dei servizi di trattamento dei dati, compresi i servizi cloud ed edge, di passare ad altri servizi di trattamento dei dati, mantenendo nel contempo una funzionalità minima del servizio, è una condizione fondamentale per un mercato più competitivo con minori barriere all'ingresso di nuovi fornitori di servizi.

(70)Il regolamento (UE) 2018/1807 del Parlamento europeo e del Consiglio incoraggia i fornitori di servizi a elaborare codici di condotta di autoregolamentazione e a dare loro effettiva attuazione, contemplando le migliori prassi per agevolare, tra l'altro, il passaggio ad altri fornitori di servizi di trattamento dei dati e la portabilità dei dati. Data la limitata efficacia dei quadri di autoregolamentazione elaborati in risposta e la generale indisponibilità di norme aperte e di interfacce, è necessario adottare una serie di obblighi normativi minimi per i fornitori di servizi di trattamento dei dati al fine di eliminare le barriere contrattuali, economiche e tecniche che si frappongono a un passaggio efficace tra servizi di trattamento dei dati.

(71)I servizi di trattamento dei dati dovrebbero comprendere i servizi che consentono un ampio accesso remoto su richiesta a un pool scalabile ed elastico di risorse informatiche condivise e distribuite. Tali risorse informatiche comprendono le reti, i server o altre infrastrutture virtuali o fisiche, i sistemi operativi, i software, compresi gli strumenti di sviluppo software, la conservazione, le applicazioni e i servizi. La capacità del cliente del servizio di trattamento dei dati di disporre unilateralmente di capacità informatiche a fornitura diretta, quali il tempo di utilizzo del server o lo spazio per la conservazione in rete, senza alcuna interazione umana da parte del fornitore di servizi potrebbe essere descritta come "amministrazione su richiesta". L'espressione "ampio accesso remoto" è utilizzata per descrivere il fatto che le capacità informatiche sono fornite sulla rete e sono accessibili attraverso meccanismi che promuovono l'uso di piattaforme "thin client" o "thick client" (dai browser web ai dispositivi mobili e alle postazioni di lavoro). Il termine "scalabile" si riferisce alle risorse informatiche che sono assegnate in modo flessibile dal fornitore di servizi di trattamento dei dati, indipendentemente dall'ubicazione geografica delle stesse, per gestire le fluttuazioni della domanda. L'espressione "pool elastico" è usata per descrivere quelle risorse informatiche che sono fornite e diffuse in base alla richiesta al fine di aumentare o ridurre rapidamente le risorse disponibili a seconda del carico di lavoro. Il termine "condivisibile" è usato per descrivere le risorse informatiche che sono fornite a una molteplicità di utenti che condividono un accesso comune al servizio, mentre il trattamento è effettuato separatamente per ogni utente anche se il servizio è fornito a partire dalla stessa apparecchiatura elettronica. Il termine "distribuita" è usato per descrivere le risorse informatiche collocate su diversi computer o dispositivi collegati in rete e che comunicano e si coordinano tra di loro mediante il trasferimento di messaggi. Il termine "altamente distribuita" è utilizzato per descrivere la natura dei servizi di trattamento dei dati che comportano un trattamento dei dati più vicino al luogo in cui i dati sono generati o raccolti, ad esempio in un dispositivo connesso per il trattamento dei dati. L'edge computing, che è una forma di trattamento dei dati altamente distribuito, dovrebbe generare nuovi modelli commerciali e modelli di fornitura di servizi cloud che dovrebbero essere fin dall'inizio aperti e interoperabili.

(72)Il presente regolamento mira ad agevolare il passaggio tra servizi di trattamento dei dati, che comprende tutte le condizioni e le azioni necessarie affinché un cliente risolva un accordo contrattuale relativo a un servizio di trattamento dei dati, concluda uno o più nuovi contratti con altri fornitori di servizi di trattamento dei dati, trasferisca tutte le sue risorse digitali, compresi i dati, agli altri fornitori in questione e continui a utilizzarli nel nuovo ambiente beneficiando nel contempo dell'equivalenza funzionale. Le risorse digitali si riferiscono a elementi in formato digitale sui quali il cliente ha il diritto d'uso, compresi dati, applicazioni, macchine virtuali e altre forme di tecnologie di virtualizzazione, come i container. Per equivalenza funzionale si intende il mantenimento di un livello minimo di funzionalità di un servizio dopo il passaggio ad altri fornitori, che dovrebbe essere considerato tecnicamente fattibile ogniqualvolta i servizi di trattamento dei dati di origine e di destinazione coprano (in tutto o in parte) lo stesso tipo di servizio. Anche i metadati generati dall'utilizzo di un servizio da parte del cliente dovrebbero essere portabili ai sensi delle disposizioni del presente regolamento in materia di passaggio ad altri fornitori.

(73)Qualora siano a loro volta clienti di servizi di trattamento dei dati offerti da un fornitore terzo, anche i fornitori di servizi di trattamento dei dati stessi beneficeranno di un passaggio più efficace, pur rimanendo nel contempo vincolati dagli obblighi sanciti dal presente regolamento per quanto riguarda le loro offerte di servizi.

(74)È opportuno che i fornitori di servizi di trattamento dei dati siano tenuti a offrire tutta l'assistenza e tutto il sostegno necessari per garantire il buon esito e l'efficacia del processo di passaggio, senza che sia loro imposto di sviluppare nuove categorie di servizi all'interno o sulla base dell'infrastruttura informatica di altri fornitori di servizi di trattamento dei dati al fine di garantire l'equivalenza funzionale in un ambiente diverso dai loro sistemi. I fornitori di servizi sono tuttavia tenuti a offrire tutta l'assistenza e tutto il sostegno necessari per rendere efficace il processo di passaggio. I diritti esistenti relativi alla risoluzione dei contratti, compresi quelli introdotti dal regolamento (UE) 2016/679 e dalla direttiva (UE) 2019/770 del Parlamento europeo e del Consiglio 67 non dovrebbero essere pregiudicati.

(75)Per agevolare il passaggio tra servizi di trattamento dei dati è opportuno che i fornitori di servizi di trattamento dei dati prendano in considerazione l'uso di strumenti di attuazione e/o di conformità, in particolare quelli pubblicati dalla Commissione sotto forma di un codice relativo ai servizi cloud. In particolare, le clausole contrattuali standard contribuiscono ad accrescere la fiducia nei servizi di trattamento dei dati, a creare una relazione più equilibrata tra utenti e fornitori di servizi e a rafforzare la certezza del diritto riguardo alle condizioni applicabili al passaggio ad altri servizi di trattamento dei dati. In tale contesto è opportuno che gli utenti e i fornitori di servizi prendano in considerazione il ricorso a clausole contrattuali standard elaborate dagli organismi o dai gruppi di esperti pertinenti istituiti a norma del diritto dell'Unione.

(76)Le norme e le specifiche di interoperabilità aperte elaborate conformemente all'allegato II, punti 3 e 4, del regolamento (UE) n. 1025/2021 nel settore dell'interoperabilità e della portabilità rendono attuabile un ambiente cloud uniforme con più fornitori, che è un requisito fondamentale per un'innovazione aperta nell'economia europea dei dati. Poiché i processi orientati al mercato non hanno dimostrato la capacità di stabilire specifiche tecniche o norme che agevolino un'efficace interoperabilità nel cloud a livello di PaaS (platform-as-a-service) e SaaS (software-as-a-service), è opportuno che la Commissione sia in grado, sulla base del presente regolamento e in conformità del regolamento (UE) n. 1025/2012, di chiedere agli organismi europei di normazione di elaborare tali norme, in particolare per i tipi di servizi per i quali tali norme non esistono ancora. Inoltre la Commissione incoraggerà le parti presenti sul mercato a elaborare specifiche di interoperabilità aperte pertinenti. La Commissione può imporre, mediante atti delegati, il ricorso a norme europee per l'interoperabilità o a specifiche di interoperabilità aperte per tipi di servizi specifici mediante un riferimento in un archivio centrale dell'Unione delle norme per l'interoperabilità dei servizi di trattamento dei dati. Si farà riferimento alle norme europee e alle specifiche di interoperabilità aperte solo se conformi ai criteri stabiliti nel presente regolamento, che hanno il medesimo significato delle prescrizioni di cui all'allegato II, punti 3 e 4, del regolamento (UE) n. 1025/2021, e agli aspetti di interoperabilità definiti nella norma ISO/IEC 19941: 2017.

(77)I paesi terzi possono adottare leggi, regolamenti e altri atti giuridici volti a trasferire direttamente i dati non personali situati al di fuori dei loro confini o a garantire l'accesso a tali dati alle amministrazioni pubbliche, anche nell'Unione. Le sentenze di autorità giurisdizionali o le decisioni di altre autorità giudiziarie o amministrative, comprese le autorità incaricate dell'applicazione della legge di paesi terzi, che dispongono un tale trasferimento di dati non personali o l'accesso agli stessi dovrebbero avere carattere esecutivo quando sono basate su un accordo internazionale in vigore tra il paese terzo richiedente e l'Unione o un suo Stato membro, come ad esempio un trattato di mutua assistenza giudiziaria. In altri casi possono verificarsi situazioni in cui una richiesta di trasferimento di dati non personali o di accesso agli stessi basata sulla legislazione di un paese terzo sia in conflitto con l'obbligo di proteggere tali dati a norma della legislazione dell'Unione o nazionale, in particolare per quanto riguarda la tutela dei diritti fondamentali dell'individuo, quali il diritto alla sicurezza e il diritto a un ricorso effettivo, o gli interessi fondamentali di uno Stato membro connessi alla sicurezza nazionale o alla difesa, nonché la protezione dei dati commercialmente sensibili, inclusa la protezione dei segreti commerciali, e la protezione dei diritti di proprietà intellettuale, e compresi gli impegni contrattuali dello Stato membro in materia di riservatezza conformemente a tale legislazione. In assenza di accordi internazionali atti a disciplinare simili questioni, il trasferimento o l'accesso dovrebbero essere consentiti solo se è stato verificato che l'ordinamento giuridico del paese terzo impone che siano indicati i motivi e la proporzionalità della decisione, che la sentenza o decisione abbia carattere specifico e che l'obiezione motivata del destinatario sia sottoposta al riesame da parte di un organo giurisdizionale competente nel paese terzo, cui sia conferito il potere di tenere debitamente conto dei pertinenti interessi giuridici del fornitore di tali dati. Ove possibile in base alle condizioni della richiesta di accesso ai dati dell'autorità del paese terzo, è opportuno che il fornitore di servizi di trattamento dei dati sia in grado di informare il cliente i cui dati sono richiesti al fine di verificare la presenza di un potenziale conflitto tra tale accesso e le norme dell'Unione o nazionali, come quelle sulla protezione dei dati commercialmente sensibili, compresa la protezione dei segreti commerciali, dei diritti di proprietà intellettuale e degli impegni contrattuali in materia di riservatezza.

(78)Per promuovere ulteriormente la fiducia nei dati è importante che siano attuate, nella misura del possibile, garanzie in relazione ai cittadini dell'Unione, al settore pubblico e alle imprese al fine di assicurare il controllo sui loro dati. Il diritto, i valori e le norme dell'Unione dovrebbero inoltre essere rispettati in termini, tra l'altro, di sicurezza, protezione e riservatezza dei dati e tutela dei consumatori. Al fine di prevenire l'accesso illecito a dati non personali, è opportuno che i fornitori di servizi di trattamento dei dati soggetti al presente strumento, quali i servizi cloud ed edge, adottino tutte le misure ragionevoli per impedire l'accesso ai sistemi in cui sono conservati dati non personali, anche, ove opportuno, mediante la cifratura dei dati, la frequente sottoposizione a audit, l'adesione verificata ai pertinenti sistemi di certificazione della sicurezza e la modifica delle politiche aziendali.

(79)La normazione e l'interoperabilità semantica dovrebbero svolgere un ruolo fondamentale nella formulazione di soluzioni tecniche volte a garantire l'interoperabilità. Al fine di agevolare la conformità alle prescrizioni di interoperabilità è necessario prevedere una presunzione di conformità per le soluzioni di interoperabilità che soddisfano le norme armonizzate o parti di esse conformemente al regolamento (UE) n. 1025/2012 del Parlamento europeo e del Consiglio. È opportuno che la Commissione adotti specifiche comuni nei settori in cui non esistono norme armonizzate o in cui queste sono insufficienti, al fine di migliorare ulteriormente l'interoperabilità degli spazi comuni europei dei dati, le interfacce di programmazione delle applicazioni, il passaggio ad altri servizi cloud e i contratti intelligenti. Inoltre potrebbero rimanere da adottare specifiche comuni nei diversi settori, conformemente al diritto settoriale dell'Unione o nazionale, sulla base delle esigenze specifiche di tali settori. Anche le strutture e i modelli di dati riutilizzabili (sotto forma di vocabolari di base), le ontologie, il profilo applicativo dei metadati, i dati di riferimento sotto forma di vocabolario di base, le tassonomie, gli elenchi di codici, le tabelle delle autorità e i thesauri dovrebbero far parte delle specifiche tecniche per l'interoperabilità semantica. È altresì opportuno che la Commissione sia autorizzata ad imporre l'elaborazione di norme armonizzate per l'interoperabilità dei servizi di trattamento dei dati.

(80)Per promuovere l'interoperabilità dei contratti intelligenti nelle applicazioni di condivisione dei dati è necessario stabilire prescrizioni essenziali relative ai contratti intelligenti per i professionisti che li redigono per altri o integrare tali contratti in applicazioni che sostengono l'attuazione di accordi per la condivisione dei dati. Al fine di agevolare la conformità dei contratti intelligenti a tali prescrizioni essenziali è necessario prevedere una presunzione di conformità per i contratti intelligenti che soddisfano le norme armonizzate o parti di esse conformemente al regolamento (UE) n. 1025/2012 del Parlamento europeo e del Consiglio.

(81)Al fine di garantire l'attuazione efficace del presente regolamento è opportuno che gli Stati membri designino una o più autorità competenti. Se uno Stato membro designa più di un'autorità competente dovrebbe anche designare un'autorità competente coordinatrice. È opportuno che le autorità competenti cooperino tra loro. Le autorità responsabili del controllo del rispetto della protezione dei dati e le autorità competenti designate a norma della normativa settoriale dovrebbero essere responsabili dell'applicazione del presente regolamento nei loro settori di competenza.

(82)Al fine di far valere i loro diritti a norma del presente regolamento è opportuno che le persone fisiche e giuridiche abbiano il diritto di presentare ricorso in caso di violazione dei loro diritti a norma del presente regolamento, sporgendo denunce alle autorità competenti. È opportuno che tali autorità siano obbligate a cooperare per garantire che la denuncia sia gestita e risolta in modo adeguato. Al fine di avvalersi del meccanismo della rete di cooperazione per la tutela dei consumatori e consentire azioni rappresentative, il presente regolamento modifica gli allegati del regolamento (UE) 2017/2394 del Parlamento europeo e del Consiglio 68 e la direttiva (UE) 2020/1828 del Parlamento europeo e del Consiglio 69 .

(83)Le autorità competenti degli Stati membri dovrebbero garantire che le violazioni degli obblighi stabiliti dal presente regolamento siano oggetto di sanzioni. È opportuno che, nel farlo, tengano conto della natura, della gravità, della reiterazione e della durata della violazione, alla luce dell'obiettivo di interesse generale perseguito, della portata e del tipo di attività svolte e della capacità economica dell'autore della violazione. Le suddette autorità competenti dovrebbero tener conto del fatto che l'autore della violazione non adempie sistematicamente o ripetutamente gli obblighi derivanti dal presente regolamento. Al fine di aiutare le imprese a redigere e negoziare contratti è opportuno che la Commissione elabori e raccomandi clausole contrattuali tipo non obbligatorie per i contratti di condivisione dei dati tra imprese, tenendo conto, se necessario, delle condizioni in settori specifici e delle pratiche esistenti con meccanismi volontari di condivisione dei dati. Tali clausole contrattuali tipo dovrebbero essere principalmente uno strumento pratico per aiutare in particolare le imprese più piccole a concludere un contratto. Se utilizzate ampiamente e integralmente tali clausole contrattuali tipo dovrebbero anche avere l'effetto positivo di influenzare l'elaborazione dei contratti relativi all'accesso ai dati e al loro utilizzo e, pertanto, dovrebbero determinare in senso più ampio rapporti contrattuali più equi in sede di accesso ai dati e loro condivisione.

(84)Al fine di eliminare il rischio che i titolari di dati contenuti in banche di dati ottenute o generate mediante componenti fisiche, quali sensori, di un prodotto connesso e di un servizio correlato rivendichino il diritto "sui generis" di cui all'articolo 7 della direttiva 96/9/CE qualora tali banche di dati non possano beneficiare del diritto "sui generis", ostacolando in tal modo l'effettivo esercizio del diritto degli utenti di accedere ai dati e di utilizzarli e del diritto di condividere i dati con terzi a norma del presente regolamento, quest'ultimo dovrebbe chiarire che il diritto "sui generis" non si applica a tali banche di dati in quanto i requisiti di protezione non sarebbero soddisfatti.

(85)Per tenere conto degli aspetti tecnici dei servizi di trattamento dei dati è opportuno delegare alla Commissione il potere di adottare atti conformemente all'articolo 290 TFUE riguardo all'integrazione del presente regolamento al fine di introdurre un meccanismo di controllo delle tariffe di passaggio imposte dai fornitori di servizi di trattamento dei dati sul mercato, di specificare ulteriormente le prescrizioni essenziali in materia di interoperabilità per gli operatori di spazi di dati e i fornitori di servizi di trattamento dei dati e di pubblicare il riferimento alle specifiche di interoperabilità aperte e alle norme europee per l'interoperabilità dei servizi di trattamento dei dati. È particolarmente importante che durante i lavori preparatori la Commissione svolga adeguate consultazioni, anche a livello di esperti, nel rispetto dei principi stabiliti nell'accordo interistituzionale "Legiferare meglio" del 13 aprile 2016 70 . In particolare, al fine di garantire la parità di partecipazione alla preparazione degli atti delegati, il Parlamento europeo e il Consiglio ricevono tutti i documenti contemporaneamente agli esperti degli Stati membri, e i loro esperti hanno sistematicamente accesso alle riunioni dei gruppi di esperti della Commissione incaricati della preparazione di tali atti delegati.

(86)Per garantire condizioni uniformi di attuazione del presente regolamento, è opportuno attribuire alla Commissione competenze di esecuzione per quanto riguarda l'integrazione del presente regolamento al fine di adottare specifiche comuni atte a garantire l'interoperabilità degli spazi comuni europei di dati e la condivisione dei dati, il passaggio tra servizi di trattamento dei dati, l'interoperabilità dei contratti intelligenti e dei mezzi tecnici, quali le interfacce di programmazione delle applicazioni (API), per consentire la trasmissione dei dati tra le parti, anche in modo continuo o in tempo reale e per i vocabolari di base dell'interoperabilità semantica, e al fine di adottare specifiche comuni per i contratti intelligenti. È opportuno che tali competenze siano esercitate conformemente al regolamento (UE) n. 182/2011 del Parlamento europeo e del Consiglio 71 .

(87)Il presente regolamento non dovrebbe pregiudicare le disposizioni specifiche degli atti dell'Unione riguardanti il settore della condivisione dei dati tra imprese, tra imprese e consumatori e tra imprese ed enti pubblici che sono stati adottati prima della data di adozione del presente regolamento. Per garantire la coerenza e il corretto funzionamento del mercato interno, è opportuno che la Commissione, ove opportuno, valuti la situazione per quanto riguarda la relazione tra il presente regolamento e gli atti adottati prima della data di adozione dello stesso che disciplinano la condivisione dei dati, al fine di accertare la necessità di allineare tali disposizioni specifiche al presente regolamento. Il presente regolamento non dovrebbe pregiudicare le norme relative alle esigenze specifiche di singoli settori o settori di interesse pubblico. Tali norme possono includere prescrizioni supplementari sugli aspetti tecnici dell'accesso ai dati, quali le interfacce per l'accesso ai dati, o sulle modalità di fornire accesso ai dati, ad esempio direttamente dal prodotto o tramite servizi di intermediazione dei dati. Tali norme possono anche includere limitazioni ai diritti dei titolari dei dati di accedere ai dati degli utenti o di utilizzarli, o altri aspetti che vanno oltre l'accesso ai dati e il loro utilizzo, come gli aspetti relativi alla governance. Il presente regolamento dovrebbe inoltre lasciare impregiudicate norme più specifiche nel contesto dello sviluppo di spazi comuni europei di dati.

(88)Il presente regolamento non dovrebbe incidere sull'applicazione delle norme in materia di concorrenza, e in particolare degli articoli 101 e 102 del trattato. Le misure di cui al presente regolamento non dovrebbero essere utilizzate per limitare la concorrenza in contrasto con il trattato.

(89)Al fine di consentire agli operatori economici di adeguarsi alle nuove norme stabilite nel presente regolamento, esse dovrebbero applicarsi a decorrere da un anno dopo l'entrata in vigore del regolamento.

(90)Conformemente all'articolo 42 del regolamento (UE) 2018/1725, il Garante europeo della protezione dei dati e il comitato europeo per la protezione dei dati sono stati consultati e hanno formulato un parere comune il [XX XX 2022],

HANNO ADOTTATO IL PRESENTE REGOLAMENTO:

CAPO I
DISPOSIZIONI GENERALI

Articolo 1
Oggetto e ambito di applicazione

1.Il presente regolamento stabilisce norme armonizzate relative alla messa a disposizione dei dati generati dall'uso di un prodotto o di un servizio correlato all'utente di tale prodotto o servizio, alla messa a disposizione di dati da parte dei titolari dei dati ai destinatari dei dati e alla messa a disposizione di dati da parte dei titolari dei dati agli enti pubblici o alle istituzioni, agenzie o organismi dell'Unione, a fronte di necessità eccezionali, per l'esecuzione di un compito svolto nell'interesse pubblico.

2.Il presente regolamento si applica:

a)ai fabbricanti di prodotti e ai fornitori di servizi correlati immessi sul mercato dell'Unione e agli utenti di tali prodotti o servizi;

b)ai titolari dei dati che mettono dati a disposizione dei destinatari dei dati nell'Unione;

c)ai destinatari dei dati nell'Unione a disposizione dei quali sono messi i dati;

d)agli enti pubblici e alle istituzioni, alle agenzie o agli organismi dell'Unione che chiedono ai titolari dei dati di mettere i dati a disposizione nel caso tali dati siano necessari in via eccezionale per l'esecuzione di un compito svolto nell'interesse pubblico e ai titolari dei dati che forniscono tali dati in risposta a tale richiesta;

e)ai fornitori di servizi di trattamento dei dati che offrono tali servizi a clienti nell'Unione.

3.Il diritto dell'Unione in materia di protezione dei dati personali, della vita privata e della riservatezza delle comunicazioni e dell'integrità delle apparecchiature terminali si applica ai dati personali trattati in relazione ai diritti e agli obblighi di cui al presente regolamento. Il presente regolamento non pregiudica l'applicabilità del diritto dell'Unione in materia di protezione dei dati personali, in particolare il regolamento (UE) 2016/679 e la direttiva 2002/58/CE, nonché i poteri e le competenze delle autorità di controllo. Per quanto riguarda i diritti di cui al capo II del presente regolamento, e qualora gli utenti siano gli interessati di dati personali soggetti ai diritti e agli obblighi di cui a tale capo, le disposizioni del presente regolamento integrano il diritto alla portabilità dei dati di cui all'articolo 20 del regolamento (UE) 2016/679.

4.Il presente regolamento non pregiudica gli atti giuridici dell'Unione e nazionali che prevedono la condivisione e l'uso dei dati e l'accesso agli stessi a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, compreso il regolamento (UE) 2021/784 del Parlamento europeo e del Consiglio 72 e le proposte sulle prove elettroniche [COM(2018) 225 e 226] una volta adottate, e la cooperazione internazionale in tale settore. Il presente regolamento non pregiudica la raccolta, la condivisione e l'uso dei dati né l'accesso agli stessi a norma della direttiva (UE) 2015/849 del Parlamento europeo e del Consiglio relativa alla prevenzione dell'uso del sistema finanziario a fini di riciclaggio e finanziamento del terrorismo e del regolamento (UE) 2015/847 del Parlamento europeo e del Consiglio riguardante i dati informativi che accompagnano i trasferimenti di fondi. Il presente regolamento non pregiudica le competenze degli Stati membri per quanto riguarda le attività in materia di sicurezza pubblica, difesa, sicurezza nazionale, amministrazione doganale e fiscale e salute e sicurezza dei cittadini conformemente al diritto dell'Unione.

Articolo 2
Definizioni

Ai fini del presente regolamento si applicano le definizioni seguenti:

1)"dati": qualsiasi rappresentazione digitale di atti, fatti o informazioni e qualsiasi raccolta di tali atti, fatti o informazioni, anche sotto forma di registrazione sonora, visiva o audiovisiva;

2)"prodotto": un bene materiale e mobile, anche quando incorporato in un bene immobile, che ottiene, genera o raccoglie dati relativi al suo utilizzo o al suo ambiente e che è in grado di comunicare dati tramite un servizio di comunicazione elettronica accessibile al pubblico e la cui funzione primaria non è la conservazione e il trattamento dei dati;

3)"servizio correlato": un servizio digitale, anche software, incorporato in un prodotto o interconnesso con esso in modo tale che la sua assenza impedirebbe al prodotto di svolgere una delle sue funzioni;

4)"assistenti virtuali": software che può elaborare richieste, compiti o domande, anche sulla base di input sonori o scritti, gesti o movimenti, e che, sulla base di tali richieste, compiti o domande, fornisce accesso ai propri servizi e a servizi di terzi o controlla dispositivi propri e di terzi;

5)"utente": una persona fisica o giuridica che possiede, affitta o noleggia un prodotto o riceve un servizio;

6)"titolare dei dati": una persona fisica o giuridica che ha il diritto o l'obbligo, conformemente al presente regolamento, al diritto applicabile dell'Unione o alla legislazione nazionale di attuazione del diritto dell'Unione, o, nel caso di dati non personali e attraverso il controllo della progettazione tecnica del prodotto e dei servizi correlati, la capacità di mettere a disposizione determinati dati;

7)"destinatario dei dati": una persona fisica o giuridica, che agisce per fini connessi alla sua attività commerciale, imprenditoriale, artigianale o professionale, diversa dall'utente di un prodotto o di un servizio correlato, a disposizione della quale il titolare dei dati mette i dati, e che può essere un terzo in seguito a una richiesta da parte dell'utente al titolare dei dati o conformemente a un obbligo giuridico ai sensi del diritto dell'Unione o della legislazione nazionale di attuazione del diritto dell'Unione;

8)"impresa": una persona fisica o giuridica che, in relazione ai contratti e alle pratiche di cui al presente regolamento, agisce per fini connessi alla propria attività commerciale, imprenditoriale, artigianale o professionale;

9) "ente pubblico": le autorità nazionali, regionali o locali degli Stati membri e gli organismi di diritto pubblico degli Stati membri o le associazioni formate da una o più di tali autorità oppure da uno o più di tali organismi;

10)"emergenza pubblica": una situazione eccezionale che incide negativamente sulla popolazione dell'Unione, di uno Stato membro o di parte di esso, con il rischio di ripercussioni gravi e durature sulle condizioni di vita o sulla stabilità economica, o di un sostanziale degrado delle risorse economiche nell'Unione o nello Stato membro o negli Stati membri interessati;

11)"trattamento": qualsiasi operazione o insieme di operazioni compiute su dati o insiemi di dati in formato elettronico, con o senza l'ausilio di strumenti automatizzati, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, il reperimento, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, l'allineamento o l'interconnessione, la limitazione, la cancellazione o la distruzione;

12)"servizio di trattamento dei dati": un servizio digitale diverso da un servizio di contenuti online quale definito all'articolo 2, punto 5, del regolamento (UE) 2017/1128, fornito a un cliente, che consente l'amministrazione su richiesta di un pool scalabile ed elastico di risorse informatiche condivisibili di natura centralizzata, distribuita o altamente distribuita o un ampio accesso remoto allo stesso;

13)"tipo di servizio": un insieme di servizi di trattamento dei dati che condividono lo stesso obiettivo primario e lo stesso modello di servizio di base di trattamento dei dati;

14)"equivalenza funzionale": il mantenimento di un livello minimo di funzionalità nell'ambiente di un nuovo servizio di trattamento dei dati dopo il processo di passaggio ad altri fornitori, in misura tale che, in risposta a un'azione di input da parte dell'utente sugli elementi essenziali del servizio, il servizio di destinazione fornirà lo stesso output alle stesse prestazioni e con lo stesso livello di sicurezza, resilienza operativa e qualità del servizio del servizio di origine al momento della risoluzione del contratto;

15)"specifiche di interoperabilità aperte": le specifiche tecniche delle TIC, quali definite nel regolamento (UE) n. 1025/2012, orientate alle prestazioni ai fini del conseguimento dell'interoperabilità tra i servizi di trattamento dei dati;

16)"contratto intelligente": un programma informatico conservato in un sistema di registro elettronico in cui l'esito dell'esecuzione del programma è registrato nel registro elettronico;

17)"registro elettronico": un registro elettronico ai sensi dell'articolo 3, punto 53, del regolamento (UE) n. 910/2014;

18)"specifiche comuni": un documento, diverso da una norma, contenente soluzioni tecniche che forniscono i mezzi per soddisfare determinati requisiti e obblighi stabiliti a norma del presente regolamento;

19)"interoperabilità": la capacità di due o più spazi di dati o reti di comunicazione, sistemi, prodotti, applicazioni o componenti di scambiare e utilizzare dati per svolgere le loro funzioni;

20)"norma armonizzata": una norma armonizzata, quale definita all'articolo 2, punto 1, lettera c), del regolamento (UE) n. 1025/2012.

CAPO II
CONDIVISIONE DEI DATI DA IMPRESA A CONSUMATORE E DA IMPRESA A IMPRESA

Articolo 3
Obbligo di rendere accessibili i dati generati dall'uso di prodotti o servizi correlati

1.I prodotti sono progettati e fabbricati e i servizi correlati sono forniti in modo tale che i dati generati dal loro uso siano, per impostazione predefinita, accessibili all'utente in modo facile, sicuro e, ove pertinente e opportuno, diretto.

2.Prima di concludere un contratto di acquisto, affitto o noleggio di un prodotto o di un servizio correlato, devono essere fornite all'utente almeno le seguenti informazioni, in un formato chiaro e comprensibile:

a)la natura e il volume dei dati che è probabile che siano generati dall'uso del prodotto o del servizio correlato;

b)se è probabile che i dati siano generati in modo continuo e in tempo reale;

c)il modo in cui l'utente può accedere a tali dati;

d)se il fabbricante che fornisce il prodotto o il fornitore di servizi che fornisce il servizio correlato intende esso stesso utilizzare i dati o consentire a terzi di utilizzarli e, in tal caso, le finalità per le quali tali dati saranno utilizzati;

e)se il venditore, il locatore o il noleggiatore è il titolare dei dati e, in caso contrario, l'identità del titolare dei dati, ad esempio il suo nome commerciale e l'indirizzo geografico al quale è stabilito;

f)i mezzi di comunicazione che consentono all'utente di contattare rapidamente il titolare dei dati e di comunicare efficacemente con quest'ultimo;

g)il modo in cui l'utente può chiedere che i dati siano condivisi con terzi;

h)il diritto dell'utente di presentare un reclamo per violazione delle disposizioni del presente capo all'autorità competente di cui all'articolo 31.

Articolo 4
Diritto degli utenti di accedere ai dati generati dall'uso di prodotti o servizi correlati e di utilizzarli

1.Qualora l'utente non possa accedere direttamente ai dati a partire dal prodotto, il titolare dei dati mette a disposizione dell'utente i dati generati dal suo utilizzo di un prodotto o di un servizio correlato senza indebito ritardo, gratuitamente e, ove applicabile, in modo continuo e in tempo reale. Ciò avviene sulla base di una semplice richiesta mediante mezzi elettronici, ove tecnicamente fattibile.

2.Il titolare dei dati non impone all'utente di fornire informazioni al di là di quanto necessario per verificare che si tratti di un utente a norma del paragrafo 1. Il titolare dei dati non conserva informazioni sull'accesso dell'utente ai dati richiesti al di là di quanto necessario per la corretta esecuzione della richiesta di accesso dell'utente e per la sicurezza e la manutenzione dell'infrastruttura di dati.

3.I segreti commerciali sono comunicati solo a condizione che siano adottate tutte le misure specifiche necessarie per tutelarne la riservatezza, in particolare rispetto a terzi. Il titolare dei dati e l'utente possono concordare misure volte a preservare la riservatezza dei dati condivisi, in particolare rispetto a terzi.

4.L'utente non utilizza i dati ottenuti in seguito a una richiesta di cui al paragrafo 1 per sviluppare un prodotto in concorrenza con il prodotto da cui provengono i dati.

5.Se l'utente non è un interessato, i dati personali generati dall'uso di un prodotto o di un servizio correlato sono messi a disposizione dell'utente dal titolare dei dati solo se esiste una base giuridica valida a norma dell'articolo 6, paragrafo 1, del regolamento (UE) 2016/679 e, ove pertinente, se sono soddisfatte le condizioni di cui all'articolo 9 del regolamento (UE) 2016/679.

6.Il titolare dei dati utilizza i dati non personali generati dall'uso di un prodotto o di un servizio correlato solo sulla base di un accordo contrattuale con l'utente. Il titolare dei dati non utilizza tali dati generati dall'uso del prodotto o del servizio correlato per ottenere informazioni sulla situazione economica, sulle risorse e sui metodi di produzione o sull'utilizzo da parte dell'utente che potrebbero compromettere la sua posizione commerciale nei mercati in cui l'utente è attivo.

Articolo 5
Diritto di condividere i dati con terzi

1.Su richiesta di un utente, o di una parte che agisce per conto di un utente, il titolare dei dati mette a disposizione di terzi i dati generati dall'uso di un prodotto o di un servizio correlato, senza indebito ritardo e a titolo gratuito per l'utente, con la stessa qualità di cui dispone il titolare dei dati e, ove applicabile, in modo continuo e in tempo reale.

2.Qualsiasi impresa che fornisce servizi di piattaforma di base per i quali uno o più di tali servizi sono stati designati come gatekeeper a norma dell'articolo [...] del [regolamento XXX relativo a mercati equi e contendibili nel settore digitale (legge sui mercati digitali)] 73 non è un terzo ammissibile ai sensi del presente articolo e pertanto:

a)non sollecita né fornisce incentivi commerciali all'utente in qualsiasi modo, anche fornendo compensazioni pecuniarie o di altro tipo, affinché metta i dati a disposizione di uno dei suoi servizi che l'utente ha ottenuto in seguito a una richiesta a norma dell'articolo 4, paragrafo 1;

b)non sollecita né fornisce incentivi commerciali all'utente affinché chieda al titolare dei dati di mettere a disposizione i dati di uno dei suoi servizi a norma del paragrafo 1 del presente articolo;

c)non riceve dall'utente dati che quest'ultimo ha ottenuto in seguito a una richiesta a norma dell'articolo 4, paragrafo 1.

3.L'utente o il terzo non è tenuto a fornire informazioni al di là di quanto necessario per verificare che si tratti di un utente o un terzo a norma del paragrafo 1. Il titolare dei dati non conserva informazioni sull'accesso del terzo ai dati richiesti al di là di quanto necessario per la corretta esecuzione della richiesta di accesso del terzo e per la sicurezza e la manutenzione dell'infrastruttura di dati.

4.Il terzo non utilizza mezzi coercitivi né abusa di evidenti lacune nell'infrastruttura tecnica del titolare dei dati destinata a proteggere i dati al fine di ottenere l'accesso ai dati.

5.Il titolare dei dati non utilizza dati non personali generati dall'utilizzo del prodotto o del servizio correlato per ottenere informazioni sulla situazione economica, sulle risorse e sui metodi di produzione o sull'utilizzo del terzo che potrebbero compromettere la posizione commerciale del terzo sui mercati in cui è attivo, a meno che quest'ultimo non abbia acconsentito a tale uso e abbia la possibilità tecnica di revocare tale consenso in qualsiasi momento.

6.Se l'utente non è un interessato, i dati personali generati dall'uso di un prodotto o di un servizio correlato sono messi a disposizione solo se esiste una base giuridica valida a norma dell'articolo 6, paragrafo 1, del regolamento (UE) 2016/679 e, ove pertinente, se sono soddisfatte le condizioni di cui all'articolo 9 del regolamento (UE) 2016/679.

7.La mancanza di accordo, da parte del titolare dei dati e del terzo, sulle modalità per la trasmissione dei dati non ostacola, impedisce o interferisce con l'esercizio dei diritti dell'interessato a norma del regolamento (UE) 2016/679 e, in particolare, con il diritto alla portabilità dei dati di cui all'articolo 20 di tale regolamento.

8.I segreti commerciali sono comunicati a terzi solo nella misura in cui sono strettamente necessari per conseguire la finalità concordata tra l'utente e il terzo e tutte le misure specifiche necessarie concordate tra il titolare dei dati e il terzo sono adottate da quest'ultimo al fine di tutelare la riservatezza del segreto commerciale. In tal caso la natura dei dati come segreti commerciali e le misure per preservare la riservatezza sono specificate nell'accordo tra il titolare dei dati e il terzo.

9.Il diritto di cui al paragrafo 1 non deve ledere i diritti altrui alla protezione dei dati.

Articolo 6
Obblighi dei terzi che ricevono dati su richiesta dell'utente

1.Un terzo tratta i dati messi a sua disposizione a norma dell'articolo 5 solo per le finalità e alle condizioni concordate con l'utente e fatti salvi i diritti dell'interessato per quanto riguarda i dati personali, e cancella i dati quando non sono più necessari per la finalità concordata.

2.Il terzo:

a)non ricorre in nessun modo a mezzi coercitivi, ingannevoli o manipolatori nei confronti dell'utente, sovvertendone o pregiudicandone l'autonomia, il processo decisionale o le scelte, anche mediante un'interfaccia digitale con l'utente;

b)non utilizza i dati che riceve per la profilazione di persone fisiche ai sensi dell'articolo 4, punto 4, del regolamento (UE) 2016/679, a meno che ciò non sia necessario per fornire il servizio richiesto dall'utente;

c)non mette i dati che riceve a disposizione di altri terzi, in forma grezza, aggregata o derivata, a meno che ciò non sia necessario per fornire il servizio richiesto dall'utente;

d)non mette i dati che riceve a disposizione di un'impresa che fornisce servizi di piattaforma di base per i quali uno o più di tali servizi sono stati designati come gatekeeper a norma dell'articolo [...] del [regolamento relativo a mercati equi e contendibili nel settore digitale (legge sui mercati digitali)];

e)non utilizza i dati che riceve per sviluppare un prodotto in concorrenza con il prodotto da cui provengono i dati consultati né condivide i dati con un altro terzo a tal fine;

f)non impedisce all'utente, neanche attraverso impegni contrattuali, di mettere i dati che riceve a disposizione di altre parti.

Articolo 7
Ambito di applicazione degli obblighi di condivisione dei dati da impresa a consumatore e da impresa a impresa

1.Gli obblighi di cui al presente capo non si applicano ai dati generati dall'uso di prodotti fabbricati o di servizi correlati forniti da imprese che si qualificano come microimprese o piccole imprese, quali definite nell'allegato, articolo 2, della raccomandazione 2003/361/CE, a condizione che tali imprese non abbiano imprese associate o collegate quali definite nell'allegato, articolo 3, della raccomandazione 2003/361/CE che non si qualificano come microimprese o piccole imprese.

2.Nei casi in cui il presente regolamento fa riferimento a prodotti o servizi correlati, tale riferimento comprende anche gli assistenti virtuali, nella misura in cui sono utilizzati per accedere a un prodotto o a un servizio correlato o per controllarlo.

CAPO III
OBBLIGHI PER I TITOLARI DEI DATI TENUTI PER LEGGE A METTERE A DISPOSIZIONE I DATI

Articolo 8
Condizioni alle quali i titolari dei dati mettono i dati a disposizione dei destinatari dei dati

1.Il titolare dei dati che è tenuto a mettere i dati a disposizione di un destinatario dei dati a norma dell'articolo 5 o di altre normative dell'Unione o nazionali di attuazione del diritto dell'Unione, lo fa a condizioni eque, ragionevoli e non discriminatorie e in modo trasparente conformemente alle disposizioni del presente capo e del capo IV.

2.Il titolare dei dati concorda con il destinatario dei dati le condizioni per la messa a disposizione dei dati. Una clausola contrattuale concernente l'accesso ai dati e l'uso degli stessi o la responsabilità e i mezzi di ricorso per la violazione o la cessazione degli obblighi relativi ai dati non è vincolante se soddisfa le condizioni di cui all'articolo 13 o se esclude l'applicazione dell'effetto dei diritti dell'utente di cui al capo II, se modifica tale effetto o se deroga allo stesso.

3.Al momento della messa a disposizione dei dati il titolare dei dati non opera discriminazioni tra categorie comparabili di destinatari dei dati, comprese le imprese associate o collegate, quali definite all'allegato, articolo 3, della raccomandazione 2003/361/CE, del titolare dei dati. Qualora un destinatario dei dati ritenga discriminatorie le condizioni alle quali i dati sono stati messi a sua disposizione, spetta al titolare dei dati dimostrare che non vi è stata discriminazione.

4.Il titolare dei dati non mette i dati a disposizione di un destinatario dei dati su base esclusiva, salvo se richiesto dall'utente a norma del capo II.

5.I titolari dei dati e i destinatari dei dati non sono tenuti a fornire informazioni al di là di quanto necessario per verificare la conformità alle clausole contrattuali concordate per la messa a disposizione dei dati o ai loro obblighi a norma del presente regolamento o di altre normative applicabili dell'Unione o nazionali di attuazione del diritto dell'Unione.

6.Salvo disposizione contraria del diritto dell'Unione, compreso l'articolo 6 del presente regolamento, o della legislazione nazionale di attuazione del diritto dell'Unione, l'obbligo di mettere i dati a disposizione di un destinatario dei dati non impone la divulgazione dei segreti commerciali ai sensi della direttiva (UE) 2016/943.

Articolo 9
Compensazione per la messa a disposizione dei dati

1.La compensazione concordata tra il titolare dei dati e il destinatario dei dati per la messa a disposizione dei dati deve essere ragionevole.

2.Se il destinatario dei dati è una microimpresa, una piccola o una media impresa, quale definita all'allegato, articolo 2, della raccomandazione 2003/361/CE, la compensazione concordata non supera i costi direttamente connessi alla messa a disposizione dei dati al destinatario dei dati e imputabili alla richiesta. L'articolo 8, paragrafo 3, si applica di conseguenza.

3.Il presente articolo non osta a che altre normative dell'Unione o nazionali di attuazione del diritto dell'Unione escludano il risarcimento per la messa a disposizione dei dati o concedano una compensazione inferiore.

4.Il titolare dei dati fornisce al destinatario dei dati informazioni che definiscono la base per il calcolo della compensazione in modo sufficientemente dettagliato da consentire al destinatario dei dati di verificare il rispetto dei requisiti di cui al paragrafo 1 e, ove applicabile, al paragrafo 2.

Articolo 10
Risoluzione delle controversie

1.I titolari dei dati e i destinatari dei dati hanno accesso agli organismi di risoluzione delle controversie, certificati in conformità al paragrafo 2 del presente articolo, per comporre le controversie relative alla determinazione di condizioni eque, ragionevoli e non discriminatorie e alle modalità trasparenti di messa a disposizione dei dati a norma degli articoli 8 e 9.

2.Lo Stato membro in cui è stabilito l'organismo di risoluzione delle controversie certifica, su richiesta di tale organismo, che quest'ultimo ha dimostrato di soddisfare tutte le seguenti condizioni:

a)è imparziale e indipendente e adotterà le proprie decisioni in conformità a norme procedurali chiare ed eque;

b)dispone delle competenze necessarie in relazione alla determinazione di condizioni eque, ragionevoli e non discriminatorie e alla trasparenza della messa a disposizione dei dati, che consentono all'organismo di determinare efficacemente tali condizioni;

c)è facilmente accessibile attraverso le tecnologie di comunicazione elettronica;

d)è in grado adottare le proprie decisioni in modo rapido, efficiente ed efficace sotto il profilo dei costi e in almeno una delle lingue ufficiali dell'Unione.

Se nessun organismo di risoluzione delle controversie è certificato in uno Stato membro entro il [data di applicazione del regolamento], tale Stato membro istituisce e certifica un organismo di risoluzione delle controversie che soddisfi le condizioni di cui alle lettere da a) a d) del presente paragrafo.

3.Gli Stati membri notificano alla Commissione gli organismi di risoluzione delle controversie certificati in conformità al paragrafo 2. La Commissione pubblica un elenco di tali organismi su un sito web dedicato e lo mantiene aggiornato.

4.Gli organismi di risoluzione delle controversie rendono noti alle parti interessate le tariffe, o i meccanismi utilizzati per determinare tali tariffe, prima che le parti interessate richiedano una decisione.

5.Gli organismi di risoluzione delle controversie rifiutano di dare seguito a una richiesta di risoluzione di una controversia già presentata dinanzi a un altro organismo di risoluzione delle controversie o dinanzi a un giudice di uno Stato membro.

6.Gli organismi di risoluzione delle controversie concedono alle parti la possibilità, entro un termine ragionevole, di esprimere il loro punto di vista sulle questioni che le parti hanno sottoposto loro. In tale contesto gli organismi di risoluzione delle controversie trasmettono a tali parti le comunicazioni presentate dall'altra parte e le eventuali dichiarazioni di esperti. Tali organismi concedono alle parti la possibilità di presentare osservazioni in merito a tali comunicazioni e dichiarazioni.

7.Gli organismi di risoluzione delle controversie adottano la loro decisione sulle questioni loro sottoposte entro 90 giorni dalla presentazione della richiesta di decisione. Tali decisioni sono adottate per iscritto o su un supporto durevole e sono suffragate da una motivazione a sostegno della decisione.

8.La decisione dell'organismo di risoluzione delle controversie è vincolante per le parti solo se le parti hanno esplicitamente acconsentito al suo carattere vincolante prima dell'avvio del procedimento di risoluzione delle controversie.

9.Il presente articolo non pregiudica il diritto delle parti a un ricorso effettivo dinanzi a un giudice di uno Stato membro.

Articolo 11
Misure tecniche di protezione e disposizioni relative all'uso non autorizzato o alla divulgazione dei dati

1.Il titolare dei dati può applicare adeguate misure tecniche di protezione, compresi i contratti intelligenti, per impedire l'accesso non autorizzato ai dati e garantire il rispetto degli articoli 5, 6, 9 e 10, nonché delle clausole contrattuali concordate per la messa a disposizione dei dati. Tali misure tecniche di protezione non sono utilizzate come mezzo per ostacolare il diritto dell'utente di fornire efficacemente dati a terzi a norma dell'articolo 5 o qualsiasi diritto di terzi a norma del diritto dell'Unione o della legislazione nazionale di attuazione del diritto dell'Unione di cui all'articolo 8, paragrafo 1.

2.Un destinatario dei dati che, al fine di ottenere dati, ha fornito al titolare dei dati informazioni inesatte o false, ha impiegato mezzi ingannevoli o coercitivi o ha abusato di evidenti lacune nell'infrastruttura tecnica del titolare dei dati destinata a proteggere i dati, ha utilizzato per scopi non autorizzati i dati messi a disposizione o ha comunicato tali dati a terzi senza l'autorizzazione del titolare dei dati è tenuto, senza indebito ritardo, a meno che il titolare dei dati o l'utente non disponga altrimenti:

a)a distruggere i dati messi a disposizione dal titolare dei dati e le loro eventuali copie;

b)a porre fine alla produzione, all'offerta, all'immissione sul mercato o all'uso di beni, dati derivati o servizi prodotti sulla base delle conoscenze ottenute mediante tali dati, o all'importazione, all'esportazione o allo stoccaggio di merci costituenti violazione a tali fini, e a distruggere le merci costituenti violazione.

3.Il paragrafo 2, lettera b), non si applica nei seguenti casi:

a)l'uso dei dati non ha causato danni significativi al titolare dei dati; oppure

b)la sua applicazione sarebbe sproporzionata rispetto agli interessi del titolare dei dati.

Articolo 12
Ambito di applicazione degli obblighi per i titolari dei dati tenuti per legge a mettere a disposizione i dati

1.Il presente capo si applica nei casi in cui il titolare dei dati è tenuto, ai sensi dell'articolo 5 o del diritto dell'Unione o della legislazione nazionale di attuazione del diritto dell'Unione, a mettere i dati a disposizione di un destinatario dei dati.

2.Qualsiasi clausola contrattuale di un accordo di condivisione dei dati che, a danno di una parte o, ove applicabile, a danno dell'utente, escluda l'applicazione del presente capo, deroghi allo stesso o ne modifichi gli effetti non è vincolante per tale parte.

3.Il presente capo si applica solo in relazione agli obblighi di messa a disposizione dei dati a norma del diritto dell'Unione o della legislazione nazionale di attuazione del diritto dell'Unione, che entrano in vigore dopo il [data di applicazione del regolamento].

CAPO IV
CLAUSOLE ABUSIVE RELATIVE ALL'ACCESSO AI DATI E AL RELATIVO UTILIZZO TRA IMPRESE

Articolo 13
Clausole contrattuali abusive imposte unilateralmente a una microimpresa o a una piccola o media impresa

1.Una clausola contrattuale riguardante l'accesso ai dati e il relativo utilizzo o la responsabilità e i mezzi di ricorso per la violazione o la cessazione degli obblighi relativi ai dati che è stata imposta unilateralmente da un'impresa a una microimpresa o a una piccola o media impresa, quale definita all'articolo 2 dell'allegato della raccomandazione 2003/361/CE, non è vincolante per quest'ultima impresa se tale clausola è abusiva.

2.Una clausola contrattuale è abusiva se è di natura tale che il suo utilizzo si discosta considerevolmente dalle buone prassi commerciali in materia di accesso ai dati e relativo utilizzo, e se è in contrasto con i principi di buona fede e correttezza.

3.Una clausola contrattuale è abusiva ai fini del presente articolo se ha per oggetto o effetto di:

a)escludere o limitare la responsabilità della parte che ha imposto unilateralmente la clausola in caso di atti intenzionali o negligenza grave;

b)escludere i mezzi di ricorso a disposizione della parte alla quale la clausola è stata imposta unilateralmente in caso di inadempimento degli obblighi contrattuali o la responsabilità della parte che ha imposto unilateralmente la clausola in caso di violazione di tali obblighi;

c)conferire alla parte che ha imposto unilateralmente la clausola il diritto esclusivo di determinare se i dati forniti sono conformi al contratto o di interpretare una qualsiasi clausola del contratto.

4.Si presume che una clausola contrattuale sia abusiva ai fini del presente articolo se ha per oggetto o effetto di:

a)limitare in modo inappropriato i mezzi di ricorso in caso di inadempimento degli obblighi contrattuali o la responsabilità in caso di violazione di tali obblighi;

b)consentire alla parte che ha imposto unilateralmente la clausola di accedere ai dati dell'altra parte contraente e di utilizzarli in modo tale da nuocere significativamente ai legittimi interessi dell'altra parte contraente;

c)impedire alla parte alla quale è stata imposta unilateralmente la clausola di utilizzare i dati che tale parte ha fornito o generato durante il periodo del contratto, o limitare l'utilizzo di tali dati in misura tale da privare tale parte del diritto di utilizzare, acquisire o controllare tale dati, di accedervi o di sfruttarne il valore in modo proporzionato;

d)impedire alla parte alla quale è stata imposta unilateralmente la clausola di ottenere una copia dei dati che tale parte ha fornito o generato durante il periodo del contratto o entro un termine ragionevole dopo la risoluzione dello stesso;

e)consentire alla parte che ha imposto unilateralmente la clausola di risolvere il contratto con un preavviso irragionevolmente breve, tenendo conto delle ragionevoli possibilità dell'altra parte contraente di passare a un servizio alternativo e comparabile e del danno finanziario causato da tale risoluzione, salvo quando sussistano gravi motivi.

5.Una clausola contrattuale è ritenuta imposta unilateralmente ai sensi del presente articolo se è stata inserita da una parte contraente senza che l'altra parte sia stata in grado di influenzarne il contenuto malgrado un tentativo di negoziarla. La parte contraente che ha inserito una clausola contrattuale ha l'onere di provare che tale clausola non è stata imposta unilateralmente.

6.Se la clausola contrattuale abusiva è scindibile dalle altre clausole contrattuali, le clausole rimanenti mantengono carattere vincolante.

7.Il presente articolo non si applica alle clausole contrattuali che definiscono l'oggetto principale del contratto o alle clausole contrattuali che determinano il prezzo da pagare.

8.Le parti di un contratto contemplato dal paragrafo 1 non possono escludere l'applicazione del presente articolo, derogarvi o modificarne gli effetti.

CAPO V
METTERE I DATI A DISPOSIZIONE DI ENTI PUBBLICI E DI ISTITUZIONI, AGENZIE O ORGANISMI DELL'UNIONE SULLA BASE DI NECESSITÀ ECCEZIONALI

Articolo 14
Obbligo di mettere a disposizione i dati sulla base di necessità eccezionali

1.Su richiesta, il titolare dei dati mette i dati a disposizione di un ente pubblico o di un'istituzione, un'agenzia o un organismo dell'Unione che dimostri la necessità eccezionale di utilizzare i dati richiesti.

2.Il presente capo non si applica alle piccole e microimprese quali definite all'articolo 2 dell'allegato della raccomandazione 2003/361/CE.

Articolo 15
Necessità eccezionale di utilizzare i dati

Una necessità eccezionale di utilizzare i dati ai sensi del presente capo si considera esistente in una delle seguenti circostanze:

a)se i dati richiesti sono necessari per rispondere a un'emergenza pubblica;

b)se la richiesta di dati è limitata nel tempo e nella portata e necessaria per prevenire un'emergenza pubblica o per contribuire alla ripresa dopo un'emergenza pubblica;

c)se la mancanza di dati disponibili impedisce all'ente pubblico o all'istituzione, all'agenzia o all'organismo dell'Unione di svolgere un compito specifico di interesse pubblico esplicitamente previsto dalla legge; e

1)l'ente pubblico o l'istituzione, l'agenzia o l'organismo dell'Unione non è stato in grado di ottenere tali dati con mezzi alternativi, anche acquistandoli sul mercato ai prezzi di mercato o facendo affidamento sugli obblighi vigenti in materia di messa a disposizione dei dati, e l'adozione di nuove misure legislative non può garantire la tempestiva disponibilità dei dati; oppure

2)l'ottenimento dei dati in conformità della procedura stabilita nel presente capo ridurrebbe considerevolmente l'onere amministrativo per i titolari dei dati o per altre imprese.

Articolo 16
Relazione con altri obblighi di mettere i dati a disposizione di enti pubblici e di istituzioni, agenzie e organismi dell'Unione

1.Il presente capo lascia impregiudicati gli obblighi previsti dalle normative dell'Unione o nazionali ai fini della comunicazione, del soddisfacimento delle richieste di informazioni o della dimostrazione o verifica del rispetto degli obblighi di legge.

2.I diritti di cui al presente capo non sono esercitati da enti pubblici e da istituzioni, agenzie e organismi dell'Unione per svolgere attività di prevenzione, indagine, accertamento o perseguimento di reati penali o amministrativi o di esecuzione di sanzioni penali, né a fini di amministrazione doganale o tributaria. Il presente capo non pregiudica le normative dell'Unione e nazionali applicabili in materia di prevenzione, indagine, accertamento o perseguimento di reati penali o amministrativi o di esecuzione di sanzioni penali o amministrative, o in materia di amministrazione doganale o tributaria.

Articolo 17
Richieste di messa a disposizione di dati

1.Se richiede dati a norma dell'articolo 14, paragrafo 1, un ente pubblico o un'istituzione, un'agenzia o un organismo dell'Unione:

a)specifica quali sono i dati richiesti;

b)dimostra la necessità eccezionale per la quale sono richiesti i dati;

c)spiega la finalità della richiesta, l'utilizzo previsto dei dati richiesti e la durata di tale utilizzo;

d)indica la base giuridica della richiesta di dati;

e)specifica il termine entro il quale i dati devono essere messi a disposizione o entro il quale il titolare dei dati può chiedere all'ente pubblico o all'istituzione, all'agenzia o all'organismo dell'Unione di modificare o ritirare la richiesta.

2.Una richiesta di dati presentata a norma del paragrafo 1 del presente articolo:

a)è espressa in un linguaggio chiaro, conciso e semplice, comprensibile per il titolare dei dati;

b)è proporzionata alla necessità eccezionale, in termini di granularità e volume dei dati richiesti e di frequenza di accesso ai dati richiesti;

c)rispetta gli obiettivi legittimi del titolare dei dati, tenendo conto della tutela dei segreti commerciali e dei costi e degli sforzi necessari per mettere a disposizione i dati;

d)riguarda, per quanto possibile, dati non personali;

e)informa il titolare dei dati delle sanzioni che un'autorità competente di cui all'articolo 31 impone a norma dell'articolo 33 in caso di mancato soddisfacimento della richiesta;

f)è messa a disposizione del pubblico online senza indebito ritardo.

3.Un ente pubblico o un'istituzione, un'agenzia o un organismo dell'Unione non mette i dati ottenuti a norma del presente capo a disposizione per il riutilizzo ai sensi della direttiva (UE) 2019/1024. La direttiva (UE) 2019/1024 non si applica ai dati detenuti da enti pubblici ottenuti a norma del presente capo.

4.Il paragrafo 3 non impedisce a un ente pubblico o a un'istituzione, un'agenzia o un organismo dell'Unione di scambiare i dati ottenuti a norma del presente capo con altri enti pubblici o istituzioni, agenzie o organismi dell'Unione al fine di svolgere i compiti di cui all'articolo 15 o di mettere i dati a disposizione di un terzo nei casi in cui abbia esternalizzato a tale terzo, mediante un accordo accessibile al pubblico, ispezioni tecniche o altre funzioni. Sono applicati gli obblighi incombenti agli enti pubblici, alle istituzioni, alle agenzie o agli organismi dell'Unione a norma dell'articolo 19.

Se trasmette o mette a disposizione dati a norma del presente paragrafo, un ente pubblico o un'istituzione, un'agenzia o un organismo dell'Unione informa in merito il titolare dei dati che li ha trasmessi.

Articolo 18
Soddisfacimento delle richieste di dati

1.Il titolare dei dati che riceve una richiesta di accesso ai dati a norma del presente capo mette i dati a disposizione dell'ente pubblico o dell'istituzione, dell'agenzia o dell'organismo dell'Unione richiedente senza indebito ritardo.

2.Fatte salve le esigenze specifiche relative alla disponibilità dei dati definite nella normativa settoriale, il titolare dei dati può rifiutare o chiedere la modifica della richiesta entro 5 giorni lavorativi dal ricevimento di una richiesta di dati necessari per rispondere a un'emergenza pubblica ed entro 15 giorni lavorativi in altri casi di necessità eccezionale, per uno dei seguenti motivi:

a)i dati non sono disponibili;

b)la richiesta non soddisfa le condizioni di cui all'articolo 17, paragrafi 1 e 2.

3.Nel caso di una richiesta di dati necessari per rispondere a un'emergenza pubblica, il titolare dei dati può anche rifiutare o chiedere la modifica della richiesta se ha già fornito i dati richiesti in risposta a una richiesta presentata in precedenza per la stessa finalità da altri enti pubblici o istituzioni, agenzie o organismi dell'Unione e se non gli è stata notificata la distruzione dei dati a norma dell'articolo 19, paragrafo 1, lettera c).

4.Se decide di rifiutare la richiesta o di chiederne la modifica a norma del paragrafo 3, il titolare dei dati indica l'identità dell'ente pubblico o dell'istituzione, dell'agenzia o dell'organismo dell'Unione che ha presentato in precedenza una richiesta per la stessa finalità.

5.Se il soddisfacimento della richiesta di mettere i dati a disposizione di un ente pubblico o di un'istituzione, un'agenzia o un organismo dell'Unione impone la divulgazione di dati personali, il titolare dei dati compie sforzi ragionevoli per pseudonimizzare i dati, nella misura in cui la richiesta possa essere soddisfatta con dati pseudonimizzati.

6.Se l'ente pubblico o l'istituzione, l'agenzia o l'organismo dell'Unione intende contestare il rifiuto del titolare dei dati di fornire i dati richiesti o la sua domanda di modifica della richiesta, o se il titolare dei dati intende contestare la richiesta, la questione è sottoposta all'autorità competente di cui all'articolo 31.

Articolo 19
Obblighi degli enti pubblici e delle istituzioni, delle agenzie e degli organismi dell'Unione

1.Un ente pubblico o un'istituzione, un'agenzia o un organismo dell'Unione che ha ricevuto dati in seguito a una richiesta presentata a norma dell'articolo 14:

a)non utilizza i dati in modo incompatibile con la finalità per la quale sono stati richiesti;

b)attua, nella misura in cui il trattamento dei dati personali è necessario, misure tecniche e organizzative che tutelino i diritti e le libertà degli interessati;

c)distrugge i dati non appena non sono più necessari per la finalità indicata e informa il titolare dei dati dell'avvenuta distruzione.

2.La divulgazione di segreti commerciali o presunti segreti commerciali a un ente pubblico o a un'istituzione, un'agenzia o un organismo dell'Unione è obbligatoria solo nella misura strettamente necessaria per conseguire lo scopo della richiesta. In tali casi, l'ente pubblico o l'istituzione, l'agenzia o l'organismo dell'Unione adotta misure adeguate per tutelare la riservatezza di tali segreti commerciali.

Articolo 20
Compenso in casi di necessità eccezionale

1.I dati messi a disposizione per rispondere a un'emergenza pubblica a norma dell'articolo 15, lettera a), sono forniti a titolo gratuito.

2.Se il titolare dei dati chiede un compenso per aver messo a disposizione dati al fine di soddisfare una richiesta presentata a norma dell'articolo 15, lettere b) o c), tale compenso non supera i costi tecnici e organizzativi sostenuti per soddisfare la richiesta, compresi, se necessario, i costi di anonimizzazione e di adattamento tecnico, maggiorati di un margine ragionevole. Su richiesta dell'ente pubblico o dell'istituzione, dell'agenzia o dell'organismo dell'Unione che richiede i dati, il titolare dei dati fornisce informazioni sulla base per il calcolo dei costi e del margine ragionevole.

Articolo 21
Contributo degli organismi di ricerca o degli istituti statistici nel contesto di necessità eccezionali

1.Un ente pubblico o un'istituzione, un'agenzia o un organismo dell'Unione ha il diritto di condividere i dati ricevuti a norma del presente capo con persone o organizzazioni al fine di svolgere ricerche o analisi scientifiche, compatibili con la finalità per la quale sono stati richiesti i dati, o con istituti nazionali di statistica ed Eurostat per l'elaborazione di statistiche ufficiali.

2.Le persone o le organizzazioni che ricevono i dati a norma del paragrafo 1 agiscono senza scopo di lucro o nell'ambito di una missione di interesse pubblico riconosciuta dal diritto dell'Unione o degli Stati membri. Tali organizzazioni non comprendono le organizzazioni su cui imprese commerciali esercitano un'influenza determinante o che potrebbe comportare un accesso preferenziale ai risultati della ricerca.

3.Le persone o le organizzazioni che ricevono i dati a norma del paragrafo 1 rispettano le disposizioni dell'articolo 17, paragrafo 3, e dell'articolo 19.

4.Se trasmette o mette a disposizione dati a norma del paragrafo 1, un ente pubblico o un'istituzione, un'agenzia o un organismo dell'Unione informa in merito il titolare dei dati che li ha trasmessi.

Articolo 22
Assistenza reciproca e cooperazione transfrontaliera

1.Gli enti pubblici e le istituzioni, le agenzie e gli organismi dell'Unione cooperano e si assistono reciprocamente ai fini dell'attuazione coerente del presente capo.

2.Tutti i dati scambiati nell'ambito dell'assistenza richiesta e fornita a norma del paragrafo 1 non sono utilizzati in maniera incompatibile con la finalità per la quale sono stati richiesti.

3.Se intende presentare una richiesta di dati a un titolare dei dati stabilito in un altro Stato membro, un ente pubblico informa preventivamente in merito l'autorità competente di tale Stato membro di cui all'articolo 31. Tale obbligo si applica anche alle richieste presentate da istituzioni, agenzie o organismi dell'Unione.

4.Dopo aver ricevuto la notifica a norma del paragrafo 3, la pertinente autorità competente informa l'ente pubblico richiedente dell'eventuale necessità di cooperare con gli enti pubblici dello Stato membro in cui è stabilito il titolare dei dati, al fine di ridurre l'onere amministrativo del titolare dei dati relativo al soddisfacimento della richiesta. L'ente pubblico richiedente tiene conto del parere della pertinente autorità competente.

CAPO VI

PASSAGGIO TRA SERVIZI DI TRATTAMENTO DEI DATI

Articolo 23
Eliminare gli ostacoli all'effettivo passaggio da un fornitore di servizi di trattamento dei dati a un altro

1.I fornitori di un servizio di trattamento dei dati adottano le misure di cui agli articoli 24, 25 e 26 per garantire che i clienti del loro servizio possano passare a un altro servizio di trattamento dei dati, che copre lo stesso tipo di servizio ed è fornito da un altro fornitore di servizi. I fornitori di servizi di trattamento dei dati eliminano in particolare gli ostacoli commerciali, tecnici, contrattuali e organizzativi che impediscono ai clienti di:

a)risolvere, dopo un termine massimo di preavviso di 30 giorni di calendario, l'accordo contrattuale relativo al servizio;

b)concludere nuovi accordi contrattuali con un altro fornitore di servizi di trattamento dei dati che coprono lo stesso tipo di servizio;

c)trasferire i propri dati, applicazioni e altre risorse digitali a un altro fornitore di servizi di trattamento dei dati;

d)mantenere l'equivalenza funzionale del servizio nell'ambiente informatico degli altri fornitori di servizi di trattamento dei dati che coprono lo stesso tipo di servizio, in conformità dell'articolo 26.

2.Il paragrafo 1 si applica solo agli ostacoli connessi ai servizi, agli accordi contrattuali o alle pratiche commerciali del fornitore originario.

Articolo 24
Clausole contrattuali relative al passaggio da un fornitore di servizi di trattamento dei dati a un altro

1.I diritti del cliente e gli obblighi del fornitore di un servizio di trattamento dei dati in relazione al passaggio da un fornitore di tali servizi a un altro devono essere chiaramente definiti in un contratto scritto. Fatta salva la direttiva (UE) 2019/770, tale contratto comprende almeno i seguenti elementi:

a)clausole che autorizzano il cliente, su richiesta, a passare a un servizio di trattamento dei dati offerto da un altro fornitore di servizi di trattamento dei dati o a trasferire tutti i dati, le applicazioni e le risorse digitali generati direttamente o indirettamente dal cliente in un sistema locale, in particolare l'istituzione di un periodo transitorio massimo obbligatorio di 30 giorni di calendario durante il quale il fornitore di servizi di trattamento dei dati:

1)assiste e, ove tecnicamente fattibile, completa il processo di passaggio;

2)garantisce la piena continuità nella fornitura delle rispettive funzioni o dei rispettivi servizi;

b)un'indicazione specifica esaustiva di tutte le categorie di dati e di applicazioni esportabili durante il processo di passaggio, compresi almeno tutti i dati importati dal cliente all'inizio dell'accordo di servizio e tutti i dati e metadati creati dal cliente e dall'uso del servizio durante il periodo in cui il servizio è stato fornito, compresi, ma non solo, i parametri di configurazione, le impostazioni di sicurezza, i diritti di accesso e i registri di accesso al servizio;

c)un periodo minimo di almeno 30 giorni di calendario per il recupero dei dati, a decorrere dalla fine del periodo transitorio concordato tra il cliente e il fornitore di servizi, conformemente al paragrafo 1, lettera a), e al paragrafo 2.

2.Se è tecnicamente impossibile attuare il periodo transitorio obbligatorio di cui al paragrafo 1, lettere a) e c), del presente articolo, il fornitore di servizi di trattamento dei dati informa in merito il cliente entro 7 giorni lavorativi dalla presentazione della richiesta di passaggio, motivando debitamente l'impossibilità tecnica con una relazione dettagliata e indicando un periodo transitorio alternativo, che non può superare i 6 mesi. In conformità del paragrafo 1 del presente articolo, la piena continuità del servizio è garantita per tutto il periodo transitorio alternativo in cambio di tariffe ridotte, di cui all'articolo 25, paragrafo 2.

Articolo 25
Abolizione graduale delle tariffe di passaggio

1.A decorrere dal [data X + 3 anni], i fornitori di servizi di trattamento dei dati non impongono al cliente tariffe per il processo di passaggio ad altri fornitori.

2.A decorrere dal [data X, data di entrata in vigore della normativa sui dati] e fino al [data X + 3 anni], i fornitori di servizi di trattamento dei dati possono imporre al cliente tariffe ridotte per il passaggio ad altri fornitori.

3.Le tariffe di cui al paragrafo 2 non sono superiori ai costi direttamente connessi al pertinente processo di passaggio sostenuti dal fornitore di servizi di trattamento dei dati.

4.Alla Commissione è conferito il potere di adottare atti delegati conformemente all'articolo 38 per integrare il presente regolamento al fine di introdurre un meccanismo di controllo che le consenta di monitorare le tariffe di passaggio imposte dai fornitori di servizi di trattamento dei dati sul mercato e garantire che l'abolizione delle tariffe di passaggio di cui al paragrafo 1 del presente articolo sia conseguita entro il termine di cui al medesimo paragrafo.

Articolo 26
Aspetti tecnici del passaggio ad altri fornitori

1.I fornitori di servizi di trattamento dei dati concernenti risorse informatiche scalabili ed elastiche limitate a elementi infrastrutturali quali server, reti e risorse virtuali necessarie per il funzionamento dell'infrastruttura, che non forniscono tuttavia accesso ad applicazioni, servizi e software operativi memorizzati, altrimenti trattati o installati su tali elementi infrastrutturali, garantiscono che il cliente, dopo il passaggio a un servizio che copre lo stesso tipo di servizio ed è offerto da un diverso fornitore di servizi di trattamento dei dati, benefici dell'equivalenza funzionale nell'utilizzo del nuovo servizio.

2.Per i servizi di trattamento dei dati diversi da quelli di cui al paragrafo 1, i fornitori di servizi di trattamento dei dati rendono pubblicamente disponibili a titolo gratuito interfacce aperte.

3.Per i servizi di trattamento dei dati diversi da quelli di cui al paragrafo 1, i fornitori di servizi di trattamento dei dati garantiscono la compatibilità con le specifiche di interoperabilità aperte o le norme europee per l'interoperabilità individuate in conformità dell'articolo 29, paragrafo 5, del presente regolamento.

4.Se le specifiche di interoperabilità aperte o le norme europee di cui al paragrafo 3 non esistono per il tipo di servizio in questione, il fornitore di servizi di trattamento dei dati esporta, su richiesta del cliente, tutti i dati generati o cogenerati, compresi i formati e le strutture di dati pertinenti, in un formato strutturato, di uso comune e leggibile da dispositivo automatico.

CAPO VII
GARANZIE PER I DATI NON PERSONALI IN CONTESTI INTERNAZIONALI

Articolo 27
Accesso e trasferimento internazionali

1.Fatti salvi i paragrafi 2 o 3, i fornitori di servizi di trattamento dei dati adottano tutte le ragionevoli misure tecniche, giuridiche e organizzative, ivi compresi accordi contrattuali, al fine di impedire il trasferimento internazionale o l'accesso governativo ai dati non personali detenuti nell'Unione nei casi in cui tale trasferimento o accesso creerebbe un conflitto con il diritto dell'Unione o con il diritto nazionale dello Stato membro interessato.

2.Le decisioni o le sentenze di un'autorità giurisdizionale e le decisioni di un'autorità amministrativa di un paese terzo che obbligano un fornitore di servizi di trattamento dei dati a trasferire dati non personali detenuti nell'Unione che rientrano nell'ambito di applicazione del presente regolamento o a concedervi l'accesso possono essere riconosciute o assumere qualsivoglia carattere esecutivo soltanto se basate su un accordo internazionale in vigore tra il paese terzo richiedente e l'Unione, ad esempio un trattato di mutua assistenza giudiziaria, o su qualsiasi accordo analogo tra il paese terzo richiedente e uno Stato membro.

3.In assenza di un simile accordo internazionale, se un fornitore di servizi di trattamento dei dati è destinatario di una decisione di un'autorità giurisdizionale o di una decisione di un'autorità amministrativa di un paese terzo che prevede il trasferimento di dati non personali detenuti nell'Unione che rientrano nell'ambito di applicazione del presente regolamento o la concessione dell'accesso a tali dati, e il rispetto di tale decisione rischiasse di porre il destinatario della decisione in conflitto con il diritto dell'Unione o con il diritto nazionale dello Stato membro interessato, il trasferimento di tali dati o l'accesso agli stessi da parte di tale autorità del paese terzo ha luogo solo nei seguenti casi:

a)il sistema del paese terzo richiede che siano indicati i motivi e la proporzionalità della decisione o sentenza, e che tale decisione o sentenza, a seconda dei casi, abbia carattere specifico, ad esempio stabilendo un nesso sufficiente con determinate persone sospettate o determinate violazioni;

b)l'obiezione motivata del destinatario della decisione è oggetto di esame da parte di un'autorità giurisdizionale competente del paese terzo; e

c)l'autorità giurisdizionale competente che emette la decisione o sentenza o riesamina la decisione di un'autorità amministrativa ha il potere, in virtù del diritto di tale paese, di tenere debitamente conto dei pertinenti interessi giuridici del fornitore dei dati tutelati dal diritto dell'Unione o dal diritto nazionale dello Stato membro interessato.

Il destinatario della decisione può chiedere il parere dei pertinenti organismi o autorità competenti, a norma del presente regolamento, al fine di determinare se tali condizioni sono rispettate, in particolare quando ritiene che la decisione possa riguardare dati commercialmente sensibili o incidere sugli interessi di sicurezza nazionale o di difesa dell'Unione o dei suoi Stati membri.

Il comitato europeo per l'innovazione in materia di dati istituito a norma del regolamento [xxx – atto sulla governance dei dati] fornisce consulenza e assistenza alla Commissione nell'elaborazione di orientamenti sulla valutazione del rispetto di tali condizioni.

4.Se le condizioni di cui ai paragrafi 2 o 3 sono rispettate, il fornitore di servizi di trattamento dei dati fornisce la quantità minima di dati ammissibile in risposta a una richiesta, sulla base di un'interpretazione ragionevole.

5.Il fornitore di servizi di trattamento dei dati informa il titolare dei dati dell'esistenza di una richiesta di accesso ai suoi dati da parte di un'autorità amministrativa di un paese terzo prima di dare seguito alla richiesta, tranne nei casi in cui la richiesta abbia fini di contrasto e per il tempo necessario a preservare l'efficacia dell'attività di contrasto.

CAPO VIII
INTEROPERABILITÀ

Articolo 28
Prescrizioni essenziali in materia di interoperabilità

1.Per facilitare l'interoperabilità dei dati e dei meccanismi e servizi di condivisione dei dati, gli operatori degli spazi di dati rispettano le seguenti prescrizioni essenziali:

a)il contenuto dei set di dati, le restrizioni all'uso, le licenze, la metodologia di raccolta dei dati e la qualità e l'incertezza dei dati sono descritti in modo sufficiente a consentire al destinatario di trovare i dati, accedervi e utilizzarli;

b)le strutture e i formati dei dati, i vocabolari, gli schemi di classificazione, le tassonomie e gli elenchi dei codici sono descritti in modo accessibile al pubblico e coerente;

c)i mezzi tecnici per accedere ai dati, quali le interfacce di programmazione delle applicazioni (API), e le relative condizioni d'uso e di qualità del servizio sono descritti in modo sufficiente a consentire l'accesso automatico ai dati e la relativa trasmissione automatica tra le parti, anche in modo continuo o in tempo reale, in un formato leggibile da dispositivo automatico;

d)sono forniti i mezzi per consentire l'interoperabilità dei contratti intelligenti nell'ambito dei loro servizi e delle loro attività.

Tali prescrizioni possono avere carattere generico o riguardare settori specifici, tenendo pienamente conto dell'interrelazione con le prescrizioni derivanti da altre normative settoriali dell'Unione o nazionali.

2.La Commissione ha il potere di adottare atti delegati conformemente all'articolo 38 per integrare il presente regolamento specificando ulteriormente le prescrizioni essenziali di cui al paragrafo 1.

3.Si presume che gli operatori degli spazi di dati che soddisfano le norme armonizzate o parti di esse i cui riferimenti sono pubblicati nella Gazzetta ufficiale dell'Unione europea siano conformi alle prescrizioni essenziali di cui al paragrafo 1 del presente articolo nella misura in cui tali prescrizioni sono contemplate da tali norme.

4.Conformemente all'articolo 10 del regolamento (UE) n. 1025/2012, la Commissione può chiedere a una o più organizzazioni europee di normazione di elaborare norme armonizzate che soddisfino le prescrizioni essenziali di cui al paragrafo 1 del presente articolo.

5.Se necessario la Commissione adotta, mediante atti di esecuzione, specifiche comuni relative a ogni prescrizione di cui al paragrafo 1 del presente articolo qualora le norme armonizzate di cui al paragrafo 4 del presente articolo non esistano o qualora ritenga che le pertinenti norme armonizzate non siano sufficienti a garantire la conformità alle prescrizioni essenziali di cui al paragrafo 1 del presente articolo. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 39, paragrafo 2.

6.La Commissione può adottare orientamenti che stabiliscono specifiche di interoperabilità per il funzionamento degli spazi comuni europei di dati, quali modelli architetturali e norme tecniche che attuano norme e accordi giuridici tra le parti che promuovono la condivisione dei dati, ad esempio per quanto riguarda i diritti di accesso e la traduzione sul piano tecnico del consenso o del permesso.

Articolo 29
Interoperabilità per i servizi di trattamento dei dati

1.Le specifiche di interoperabilità aperte e le norme europee per l'interoperabilità dei servizi di trattamento dei dati:

a)sono orientate alle prestazioni ai fini del conseguimento dell'interoperabilità tra diversi servizi di trattamento dei dati che riguardano lo stesso tipo di servizio;

b)aumentano la portabilità delle risorse digitali tra diversi servizi di trattamento dei dati che riguardano lo stesso tipo di servizio;

c)garantiscono, ove tecnicamente fattibile, l'equivalenza funzionale tra diversi servizi di trattamento dei dati che riguardano lo stesso tipo di servizio.

2.Le specifiche di interoperabilità aperte e le norme europee per l'interoperabilità dei servizi di trattamento dei dati contemplano:

a)gli aspetti di interoperabilità del cloud per quanto riguarda l'interoperabilità del trasporto, l'interoperabilità sintattica, l'interoperabilità semantica dei dati, l'interoperabilità comportamentale e l'interoperabilità in conformità del quadro organizzativo, giuridico e strategico (policy interoperability);

b)gli aspetti della portabilità dei dati su cloud per quanto riguarda la portabilità sintattica dei dati, la portabilità semantica dei dati e la portabilità dei dati in conformità del quadro organizzativo, giuridico e strategico (data policy portability);

c)gli aspetti delle applicazioni su cloud per quanto riguarda la portabilità sintattica delle applicazioni, la portabilità delle istruzioni delle applicazioni, la portabilità dei metadati delle applicazioni, la portabilità del comportamento delle applicazioni e la portabilità delle applicazioni in conformità del quadro organizzativo, giuridico e strategico (application policy portability).

3.Le specifiche di interoperabilità aperte rispettano l'allegato II, punti 3 e 4, del regolamento (UE) n. 1025/2012.

4.Conformemente all'articolo 10 del regolamento (UE) n. 1025/2012, la Commissione può chiedere a una o più organizzazioni europee di normazione di elaborare norme europee applicabili a specifici tipi di servizi di trattamento dei dati.

5.Ai fini dell'articolo 26, paragrafo 3, del presente regolamento, alla Commissione è conferito il potere di adottare atti delegati, conformemente all'articolo 38, per pubblicare i riferimenti delle specifiche di interoperabilità aperte e delle norme europee per l'interoperabilità dei servizi di trattamento dei dati nell'archivio centrale dell'Unione delle norme per l'interoperabilità dei servizi di trattamento dei dati, qualora esse soddisfino i criteri di cui ai paragrafi 1 e 2 del presente articolo.

Articolo 30
Prescrizioni essenziali relative ai contratti intelligenti per la condivisione dei dati

1.Il venditore di applicazioni che utilizzano contratti intelligenti o, in sua assenza, la persona la cui attività commerciale, imprenditoriale o professionale comporti l'implementazione di contratti intelligenti per altri nel contesto di un accordo di messa a disposizione dei dati, rispetta le seguenti prescrizioni essenziali:

a)robustezza: garantire che il contratto intelligente sia stato progettato in modo da offrire un grado di robustezza molto elevato per evitare errori funzionali e resistere alla manipolazione di terzi;

b)cessazione e interruzione sicure: garantire l'esistenza di un meccanismo per cessare l'esecuzione continua delle transazioni. Il contratto intelligente comprende funzioni interne che possono reimpostarlo o trasmettergli l'istruzione di fermare o interrompere il proprio funzionamento per evitare esecuzioni (accidentali) future;

c)archiviazione e continuità dei dati: nel caso in cui sia necessario procedere alla risoluzione o alla disattivazione di un contratto intelligente, prevedere la possibilità di archiviare i dati relativi alle transazioni e la logica e il codice del contratto intelligente per tenere traccia delle operazioni effettuate sui dati in passato (verificabilità); e

d)controllo dell'accesso: un contratto intelligente è protetto mediante meccanismi rigorosi di controllo dell'accesso a livello della governance e del contratto intelligente.

2.Il venditore di contratti intelligenti o, in sua assenza, la persona la cui attività commerciale, imprenditoriale o professionale comporti l'implementazione di contratti intelligenti per altri nel contesto di un accordo di messa a disposizione dei dati effettua una valutazione della conformità al fine di soddisfare le prescrizioni essenziali di cui al paragrafo 1 e, se le prescrizioni sono soddisfatte, rilascia una dichiarazione UE di conformità.

3.Con la dichiarazione UE di conformità il venditore di applicazioni che utilizzano contratti intelligenti o, in sua assenza, la persona la cui attività commerciale, imprenditoriale o professionale comporti l'implementazione di contratti intelligenti per altri nel contesto di un accordo di messa a disposizione dei dati, è responsabile del rispetto delle prescrizioni di cui al paragrafo 1.

4.Si presume che un contratto intelligente che soddisfa le norme armonizzate o le pertinenti parti di tali norme redatte e pubblicate nella Gazzetta ufficiale dell'Unione europea sia conforme alle prescrizioni essenziali di cui al paragrafo 1 del presente articolo nella misura in cui tali prescrizioni sono contemplate da tali norme.

5.Conformemente all'articolo 10 del regolamento (UE) n. 1025/2012, la Commissione può chiedere a una o più organizzazioni europee di normazione di elaborare norme armonizzate che soddisfino le prescrizioni essenziali di cui al paragrafo 1 del presente articolo.

6.Qualora le norme armonizzate di cui al paragrafo 4 del presente articolo non esistano o la Commissione ritenga che le pertinenti norme armonizzate non siano sufficienti a garantire la conformità alle prescrizioni essenziali di cui al paragrafo 1 del presente articolo in un contesto transfrontaliero, la Commissione può adottare, mediante atti di esecuzione, specifiche comuni per quanto riguarda le prescrizioni essenziali di cui al paragrafo 1 del presente articolo. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 39, paragrafo 2.

CAPO IX
ATTUAZIONE ED ESECUZIONE

Articolo 31
Autorità competenti

1.Ciascuno Stato membro designa una o più autorità competenti incaricate dell'applicazione e dell'esecuzione del presente regolamento. Gli Stati membri possono istituire una o più nuove autorità o fare affidamento sulle autorità esistenti.

2.Fatto salvo il paragrafo 1 del presente articolo:

a)le autorità di controllo indipendenti incaricate di sorvegliare l'applicazione del regolamento (UE) 2016/679 sono incaricate di sorvegliare l'applicazione del presente regolamento per quanto riguarda la protezione dei dati personali. I capi VI e VII del regolamento (UE) 2016/679 si applicano mutatis mutandis. I compiti e i poteri delle autorità di controllo sono esercitati in relazione al trattamento dei dati personali;

b)per questioni specifiche concernenti lo scambio di dati settoriali relative all'attuazione del presente regolamento è rispettata la competenza delle autorità settoriali;

c)l'autorità nazionale competente incaricata dell'applicazione e dell'esecuzione del capo VI del presente regolamento ha esperienza nel campo dei dati e dei servizi di comunicazioni elettroniche.

3.Gli Stati membri provvedono affinché i rispettivi compiti e poteri delle autorità competenti designate a norma del paragrafo 1 del presente articolo siano chiaramente definiti e comprendano:

a)la sensibilizzazione degli utenti e dei soggetti che rientrano nell'ambito di applicazione del presente regolamento in merito ai diritti e agli obblighi a norma del presente regolamento;

b)il trattamento dei reclami derivanti da presunte violazioni del presente regolamento, lo svolgimento di indagini, nella misura appropriata, sull'oggetto del reclamo e l'informazione del reclamante in merito allo stato e all'esito delle indagini entro un termine ragionevole, in particolare ove siano necessari ulteriori indagini o il coordinamento con un'altra autorità competente;

c)lo svolgimento di indagini su questioni relative all'applicazione del presente regolamento, anche sulla base di informazioni ricevute da un'altra autorità competente o da un'altra autorità pubblica;

d)l'inflizione, mediante procedure amministrative, di sanzioni pecuniarie dissuasive che possono includere sanzioni periodiche e sanzioni con effetto retroattivo, o l'avvio di procedimenti giudiziari per l'inflizione di ammende;

e)il monitoraggio degli sviluppi tecnologici rilevanti per la messa a disposizione e l'utilizzo dei dati;

f)la cooperazione con le autorità competenti di altri Stati membri per garantire l'applicazione coerente del presente regolamento, compreso lo scambio di tutte le informazioni pertinenti per via elettronica, senza indebito ritardo;

g)la garanzia che le richieste di accesso ai dati presentate da enti pubblici in caso di emergenze pubbliche a norma del capo V siano pubblicamente disponibili online;

h)la cooperazione con tutte le autorità competenti pertinenti per garantire che gli obblighi di cui al capo VI siano applicati coerentemente con altre normative dell'Unione e misure di autoregolamentazione applicabili ai fornitori di servizi di trattamento dei dati;

i)la garanzia che le tariffe per il passaggio da un fornitore di servizi di trattamento dei dati a un altro siano abolite conformemente all'articolo 25.

4.Qualora uno Stato membro designi più di un'autorità competente, le autorità competenti, nell'esercizio dei compiti e dei poteri ad esse assegnati a norma del paragrafo 3 del presente articolo, cooperano tra loro e anche, ove necessario, con l'autorità di controllo incaricata di sorvegliare l'applicazione del regolamento (UE) 2016/679, per garantire l'applicazione coerente del presente regolamento. In tali casi gli Stati membri interessati designano un'autorità competente coordinatrice.

5.Gli Stati membri comunicano alla Commissione il nome delle autorità competenti designate e i rispettivi compiti e poteri e, ove opportuno, il nome dell'autorità competente coordinatrice. La Commissione tiene un registro pubblico di tali autorità.

6.Nello svolgimento dei loro compiti e nell'esercizio dei loro poteri conformemente al presente regolamento, le autorità competenti non subiscono alcuna influenza esterna, diretta o indiretta, e non sollecitano né accettano istruzioni da altre autorità pubbliche o da privati.

7.Gli Stati membri provvedono affinché le autorità competenti designate dispongano delle risorse necessarie per svolgere adeguatamente i propri compiti conformemente al presente regolamento.

Articolo 32
Diritto di presentare un reclamo a un'autorità competente

1.Fatto salvo ogni altro ricorso amministrativo o giudiziario, le persone fisiche e giuridiche che ritengano che i loro diritti a norma del presente regolamento siano stati violati hanno il diritto di presentare un reclamo individuale o, se opportuno, collettivo alla pertinente autorità competente dello Stato membro in cui risiedono abitualmente, lavorano o sono stabilite.

2.L'autorità competente alla quale è stato presentato il reclamo informa il reclamante dello stato del procedimento e della decisione adottata.

3.Le autorità competenti cooperano per trattare e risolvere i reclami, anche scambiando tutte le informazioni pertinenti per via elettronica, senza indebito ritardo. Tale cooperazione non pregiudica il meccanismo di cooperazione specifico di cui ai capi VI e VII del regolamento (UE) 2016/679.

Articolo 33
Sanzioni

1.Gli Stati membri stabiliscono le norme relative alle sanzioni da applicare in caso di violazione del presente regolamento e adottano tutte le misure necessarie per assicurarne l'attuazione. Le sanzioni previste sono effettive, proporzionate e dissuasive.

2.Gli Stati membri notificano tali norme e misure alla Commissione entro il [data di applicazione del presente regolamento] e provvedono a dare immediata notifica delle modifiche successive.

3.Per l'inosservanza degli obblighi di cui ai capi II, III e V del presente regolamento, le autorità di controllo di cui all'articolo 51 del regolamento (UE) 2016/679 possono, nei limiti delle proprie competenze, infliggere sanzioni amministrative pecuniarie in linea con l'articolo 83 del regolamento (UE) 2016/679 a concorrenza dell'importo di cui al paragrafo 5 del medesimo articolo.

4.Per l'inosservanza degli obblighi di cui al capo V del presente regolamento, l'autorità di controllo di cui all'articolo 52 del regolamento (UE) 2018/1725 può, nei limiti delle proprie competenze, infliggere sanzioni amministrative pecuniarie conformemente all'articolo 66 del regolamento (UE) 2018/1725 a concorrenza dell'importo di cui al paragrafo 3 del medesimo articolo.

Articolo 34
Clausole contrattuali tipo

La Commissione elabora e raccomanda clausole contrattuali tipo non vincolanti relative all'accesso ai dati e al relativo utilizzo per assistere le parti nella stesura e nella negoziazione di contratti equilibrati dal punto di vista dei diritti e degli obblighi contrattuali.

CAPO X
DIRITTO "SUI GENERIS" A NORMA DELLA DIRETTIVA 1996/9/CE

Articolo 35
Banche dati che contengono determinati dati

Il diritto "sui generis" di cui all'articolo 7 della direttiva 96/9/CE non si applica alle banche dati che contengono dati ottenuti o generati dall'uso di un prodotto o di un servizio correlato per non ostacolare l'esercizio del diritto degli utenti di accedere a tali dati e utilizzarli conformemente all'articolo 4 del presente regolamento o di condividere tali dati con terzi conformemente all'articolo 5 del presente regolamento.

CAPO XI
DISPOSIZIONI FINALI

Articolo 36
Modifica del regolamento (UE) 2017/2394

Nell'allegato del regolamento (UE) 2017/2394 è aggiunto il punto seguente:

"29. [Regolamento (UE) XXX del Parlamento europeo e del Consiglio [normativa sui dati]]".

Articolo 37
Modifica della direttiva (UE) 2020/1828

Nell'allegato della direttiva (UE) 2020/1828 è aggiunto il punto seguente:

"67. [Regolamento (UE) XXX del Parlamento europeo e del Consiglio [normativa sui dati]]".

Articolo 38
Esercizio della delega

1.Il potere di adottare atti delegati è conferito alla Commissione alle condizioni stabilite nel presente articolo.

2.Il potere di adottare atti delegati di cui all'articolo 25, paragrafo 4, all'articolo 28, paragrafo 2, e all'articolo 29, paragrafo 5, è conferito alla Commissione per un periodo indeterminato a decorrere dal [...].

3.La delega di potere di cui all'articolo 25, paragrafo 4, all'articolo 28, paragrafo 2, e all'articolo 29, paragrafo 5, può essere revocata in qualsiasi momento dal Parlamento europeo o dal Consiglio. La decisione di revoca pone fine alla delega di potere ivi specificata. Gli effetti della decisione decorrono dal giorno successivo alla pubblicazione della decisione nella Gazzetta ufficiale dell'Unione europea o da una data successiva ivi specificata. Essa non pregiudica la validità degli atti delegati già in vigore.

4.Prima dell'adozione dell'atto delegato la Commissione consulta gli esperti designati da ciascuno Stato membro nel rispetto dei principi stabiliti nell'accordo interistituzionale "Legiferare meglio" del 13 aprile 2016.

5.Non appena adotta un atto delegato, la Commissione ne dà contestualmente notifica al Parlamento europeo e al Consiglio.

6.L'atto delegato adottato a norma dell'articolo 25, paragrafo 4, dell'articolo 28, paragrafo 2, e dell'articolo 29, paragrafo 5, entra in vigore solo se né il Parlamento europeo né il Consiglio hanno sollevato obiezioni entro il termine di tre mesi dalla data in cui esso è stato loro notificato o se, prima della scadenza di tale termine, sia il Parlamento europeo che il Consiglio hanno informato la Commissione che non intendono sollevare obiezioni. Tale termine è prorogato di tre mesi su iniziativa del Parlamento europeo o del Consiglio.

Articolo 39
Procedura di comitato

1.La Commissione è assistita da un comitato. Esso è un comitato ai sensi del regolamento (UE) n. 182/2011.

2.Nei casi in cui è fatto riferimento al presente paragrafo, si applica l'articolo 5 del regolamento (UE) n. 182/2011.

Articolo 40
Altri atti giuridici dell'Unione che disciplinano i diritti e gli obblighi in materia di accesso ai dati e relativo utilizzo

1.Restano impregiudicati gli obblighi specifici per la messa a disposizione dei dati tra imprese, tra imprese e consumatori e, in via eccezionale, tra imprese e organismi pubblici contenuti in atti giuridici dell'Unione entrati in vigore il o anteriormente al [xx XX xxx] e in atti delegati o di esecuzione basati su tali atti giuridici.

2.Il presente regolamento non pregiudica la legislazione dell'Unione che, alla luce delle esigenze di un settore, di uno spazio comune europeo di dati o di un ambito di interesse comune, specifica ulteriori prescrizioni, in particolare per quanto riguarda:

a)gli aspetti tecnici dell'accesso ai dati;

b)le limitazioni ai diritti dei titolari dei dati di accedere a determinati dati forniti dagli utenti o di utilizzarli;

c)gli aspetti che vanno al di là dell'accesso ai dati e del relativo utilizzo.

Articolo 41
Valutazione e riesame

Entro il [due anni dopo la data di applicazione del presente regolamento] la Commissione effettua una valutazione del presente regolamento e presenta al Parlamento europeo, al Consiglio e al Comitato economico e sociale europeo una relazione sulle principali conclusioni tratte. La valutazione verte in particolare sui seguenti elementi:

a)altre categorie o altri tipi di dati da rendere accessibili;

b)esclusione di determinate categorie di imprese dal ruolo di beneficiario a norma dell'articolo 5;

c)altre situazioni da considerare necessità eccezionali ai fini dell'articolo 15;

d)modifiche delle pratiche contrattuali dei fornitori di servizi di trattamento dei dati, e se tali modifiche comportino un sufficiente rispetto dell'articolo 24;

e)diminuzione delle tariffe applicate dai fornitori di servizi di trattamento dei dati per il processo di passaggio, in linea con l'abolizione graduale delle tariffe di passaggio a norma dell'articolo 25.

Articolo 42
Entrata in vigore e applicazione

Il presente regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell'Unione europea.

Esso si applica a partire dal [12 mesi dopo la data della sua entrata in vigore].

Fatto a Bruxelles, il

Per il Parlamento europeo Per il Consiglio

La presidente Il presidente

(1) Ursula von der Leyen, Un'Unione più ambiziosa – Il mio programma per l'Europa, orientamenti politici per la prossima Commissione europea 2019-2024 , 16 luglio 2019.

(2) Commissione europea, Allegati del programma di lavoro della Commissione 2020 – Un'Unione più ambiziosa , (COM (2020) 37 final), 29 gennaio 2020.

(3) COM(2020) 66 final .

(4) Consiglio europeo, Riunione del Consiglio europeo (21 e 22 ottobre 2021) – Conclusioni EUCO 17/21, 2021 , pag. 2.

(5) Consiglio europeo, Dichiarazione dei membri del Consiglio europeo (25 marzo 2021) – Dichiarazione SN 18/21 , pag. 4.

(6) Consiglio europeo, Riunione straordinaria del Consiglio europeo (1º e 2 ottobre 2020) – Conclusioni EUCO 13/20, 2020 , pag. 5.

(7) Commissione europea (2020). La Commissione accoglie con favore la dichiarazione degli Stati membri sulla federazione cloud dell'UE , comunicato stampa.

(8) Risoluzione del Parlamento europeo del 25 marzo 2021 su una strategia europea per i dati ( 2020/2217 (INI) ).

(9) GU L 77 del 27.3.1996, pag. 20 .

(10) GU L 119 del 4.5.2016, pag. 1 .

(11) GU L 201 del 31.7.2002, pag. 37 .

(12) GU L 303 del 28.11.2018, pag. 59 ; SWIPO (2021), cfr. sito web .

(13) GU L 95 del 21.4.1993, pag. 29 .

(14) GU L 335 del 18.12.2010, pag. 36 .

(15) GU L 77 del 27.3.1996, pag. 20 .

(16) GU L 186 dell'11.7.2019, pag. 57 .

(17) GU L 172 del 26.6.2019, pag. 56 .

(18) GU L 318 del 4.12.2015, pag. 1 .

(19) COM(2020) 767 final .

(20) GU L 186 dell'11.7.2019, pag. 57 .

(21) COM(2020) 98 final .

(22) Iniziativa GreenData4All (REFIT) | Calendario dell'iter legislativo | Parlamento europeo (europa.eu) .

(23) GU L 108 del 25.4.2007, pag. 1 .

(24) GU L 158 del 14.6.2019, pag. 54 .

(25) GU L 158 del 14.6.2019, pag. 125 .

(26) GU L 337 del 23.12.2015, pag. 35 GU L 337 del 23.12.2015, pag. 35 .

(27) GU L 151 del 14.6.2018, pag. 1 ; GU L 60 del 2.3.2013, pag. 1 .

(28) GU L 207 del 6.8.2010, pag. 1 .

(29) GU L 96 del 31.3.2004, pag. 1 ; GU L 96 del 31.3.2004, pag. 10 ; GU L 96 del 31.3.2004, pag. 20 .

(30) GU L 308 del 29.10.2014, pag. 82 .

(31) GU L 96 del 12.4.2016, pag. 46 .

(32) COM(2021) 559 final .

(33) COM(2020) 67 final .

(34) GU L 57 del 18.2.2021, pag. 17 .

(35) COM(2021) 400 final .

(36) COM(2019) 640 final .

(37) "Una digitalizzazione a vantaggio dell'ambiente", 11 dicembre 2020 ; conclusioni del Consiglio sul nuovo piano d'azione per l'economia circolare, 11 dicembre 2020 ; conclusioni del Consiglio sulla strategia sulla biodiversità fino al 2030, 16 ottobre 2020 ; conclusioni sul miglioramento della qualità dell'aria, 5 marzo 2020 .

(38) Emergenza climatica e ambientale – Giovedì 28 novembre 2019 (europa.eu).

(39) COM(2021) 350 final .

(40) COM(2020) 66 final .

(41) COM(2020) 760 final .

(42) COM(2021) 102 final .

(43) GU L 151 del 7.6.2019, pag. 70.

(44) COM(2017) 9 final ; SWD(2018) 146 final, sezione 5.4.2; Studio a sostegno di una valutazione d'impatto per la revisione della direttiva sule banche di dati.

(45) COM(2017) 09 final ; COM(2020) 66 final ; COM(2020) 760 final .

(46) Sentenza della Corte di giustizia del 9 novembre 2004, Fixtures Marketing Ltd/Oy Veikkaus Ab, C-46/02; sentenza della Corte di giustizia del 9 novembre 2004, Fixtures Marketing Ltd/Svenska Spel Ab, C-338/02; sentenza della Corte di giustizia del 9 novembre 2004, British Horseracing Board Ltd/William Hill, C-203/02; sentenza della Corte di giustizia del 9 novembre 2004, Fixtures Marketing Ltd/OPAP, C-444/02.

(47) COM(2017) 9 final .

(48) Commissione europea (2020). Esito della consultazione online sulla strategia europea per i dati .

(49) Pagina web della Commissione europea: Di' la tua - Legge sui dati e modifica delle norme sulla tutela giuridica delle banche dati.

(50) Commissione europea (2021). Consultazione pubblica sulla legge sui dati: relazione di sintesi .

(51) COM(2018) 232 final ; SWD (2018) 125 final del 25 aprile 2018.

(52) Parere 3/2020 del GEPD sulla strategia europea per i dati .

(53) [Link al documento finale e alla scheda riepilogativa da aggiungere.]

(54) SWD(2021) 305 final .

(55) Per ulteriori spiegazioni sul test di abusività e sul principio della libertà contrattuale, cfr. la valutazione d'impatto, allegato 11.

(56) Per ulteriori spiegazioni sul test di abusività e sul suo funzionamento in pratica, cfr. la valutazione d'impatto, allegato 11.

(57) GU C […] del […], pag. […].

(58) GU C […] del […], pag. […].

(59) Direttiva 2005/29/CE del Parlamento europeo e del Consiglio, dell'11 maggio 2005, relativa alle pratiche commerciali sleali tra imprese e consumatori nel mercato interno e che modifica la direttiva 84/450/CEE del Consiglio e le direttive 97/7/CE, 98/27/CE e 2002/65/CE del Parlamento europeo e del Consiglio e il regolamento (CE) n. 2006/2004 del Parlamento europeo e del Consiglio ("direttiva sulle pratiche commerciali sleali") (GU L 149 dell'11.6.2005, pag. 22).

(60) Direttiva 2011/83/UE del Parlamento europeo e del Consiglio, del 25 ottobre 2011, sui diritti dei consumatori, recante modifica della direttiva 93/13/CEE del Consiglio e della direttiva 1999/44/CE del Parlamento europeo e del Consiglio e che abroga la direttiva 85/577/CEE del Consiglio e la direttiva 97/7/CE del Parlamento europeo e del Consiglio.

(61) Direttiva 93/13/CEE del Consiglio, del 5 aprile 1993, concernente le clausole abusive nei contratti stipulati con i consumatori. Direttiva (UE) 2019/2161 del Parlamento europeo e del Consiglio, del 27 novembre 2019, che modifica la direttiva 93/13/CEE del Consiglio e le direttive 98/6/CE, 2005/29/CE e 2011/83/UE del Parlamento europeo e del Consiglio per una migliore applicazione e una modernizzazione delle norme dell'Unione relative alla protezione dei consumatori.

(62) Direttiva (UE) 2019/882 del Parlamento europeo e del Consiglio, del 17 aprile 2019, sui requisiti di accessibilità dei prodotti e dei servizi (GU L 151 del 7.6.2019, pag. 70).

(63) Raccomandazione 2003/361/CE della Commissione, del 6 maggio 2003, relativa alla definizione delle microimprese, piccole e medie imprese.

(64) GU L 303 del 28.11.2018, pag. 59 .

(65) Direttiva (UE) 2019/1024 del Parlamento europeo e del Consiglio, del 20 giugno 2019, relativa all'apertura dei dati e al riutilizzo dell'informazione del settore pubblico (GU L 172 del 26.6.2019, pag. 56).

(66) Direttiva 96/9/CE del Parlamento europeo e del Consiglio, dell'11 marzo 1996, relativa alla tutela giuridica delle banche di dati (GU L 77 del 27.3.1996, pag. 20).

(67) Direttiva (UE) 2019/770 del Parlamento europeo e del Consiglio, del 20 maggio 2019, relativa a determinati aspetti dei contratti di fornitura di contenuto digitale e di servizi digitali (GU L 136 del 22.5.2019, pag. 1).

(68) Regolamento (UE) 2017/2394 del Parlamento europeo e del Consiglio, del 12 dicembre 2017, sulla cooperazione tra le autorità nazionali responsabili dell'esecuzione della normativa che tutela i consumatori e che abroga il regolamento (CE) n. 2006/2004 (GU L 345 del 27.12.2017, pag. 1).

(69) Direttiva (UE) 2020/1828 del Parlamento europeo e del Consiglio, del 25 novembre 2020, relativa alle azioni rappresentative a tutela degli interessi collettivi dei consumatori e che abroga la direttiva 2009/22/CE (GU L 409 del 4.12.2020, pag. 1).

(70) GU L 123 del 12.5.2016, pag. 1 .

(71) Regolamento (UE) n. 182/2011 del Parlamento europeo e del Consiglio, del 16 febbraio 2011, che stabilisce le regole e i principi generali relativi alle modalità di controllo da parte degli Stati membri dell'esercizio delle competenze di esecuzione attribuite alla Commissione (GU L 55 del 28.2.2011, pag. 13).

(72) Regolamento (UE) 2021/784 del Parlamento europeo e del Consiglio, del 29 aprile 2021, relativo al contrasto della diffusione di contenuti terroristici online (GU L 172 del 17.5.2021, pag. 79).

(73) GU […].