COMMISSIONE EUROPEA
Bruxelles, 25.11.2020
COM(2020) 767 final
2020/0340(COD)
Proposta di
REGOLAMENTO DEL PARLAMENTO EUROPEO E DEL CONSIGLIO
relativo alla governance europea dei dati
(Atto sulla governance dei dati)
(Testo rilevante ai fini del SEE)
{SEC(2020) 405 final} - {SWD(2020) 295 final} - {SWD(2020) 296 final}
RELAZIONE
1.CONTESTO DELLA PROPOSTA
•Motivi e obiettivi della proposta
La presente relazione accompagna la proposta di regolamento del Parlamento europeo e del Consiglio 1 in materia di governance dei dati. Si tratta della prima di una serie di misure annunciate nella strategia europea per i dati del 2020 2 . L'atto giuridico è volto a promuovere la disponibilità dei dati utilizzabili rafforzando la fiducia negli intermediari di dati e potenziando i meccanismi di condivisione dei dati in tutta l'UE. L'atto si propone di affrontare le seguenti situazioni:
-messa a disposizione dei dati del settore pubblico per il riutilizzo qualora tali dati siano oggetto di diritti di terzi 3 ;
-condivisione dei dati tra le imprese, dietro compenso in qualsiasi forma;
-consenso all'utilizzo di dati personali con l'aiuto di un "intermediario per la condivisione dei dati personali", il cui compito consiste nell'aiutare i singoli individui a esercitare i propri diritti a norma del regolamento generale sulla protezione dei dati (RGPD);
-consenso all'utilizzo dei dati per scopi altruistici.
•Coerenza con le disposizioni vigenti nel settore normativo interessato
La presente iniziativa riguarda diversi tipi di intermediari di dati che gestiscono dati sia personali sia non personali. L'interazione con la legislazione in materia di dati personali è pertanto particolarmente importante. Con il regolamento generale sulla protezione dei dati (RGPD) 4 e con la direttiva ePrivacy relativa alla vita privata e alle comunicazioni elettroniche 5 , l'UE ha istituito un quadro giuridico solido e affidabile per la protezione dei dati personali e ha creato un modello per il resto del mondo.
La presente proposta integra la direttiva (UE) 2019/1024 del Parlamento europeo e del Consiglio, del 20 giugno 2019, relativa all'apertura dei dati e al riutilizzo dell'informazione del settore pubblico (direttiva sull'apertura dei dati) 6 . La presente proposta riguarda i dati oggetto di diritti di terzi detenuti da enti pubblici e non rientra pertanto nel campo di applicazione della direttiva citata. La proposta presenta collegamenti logici e coerenti con le altre iniziative annunciate nella strategia europea per i dati. Mira ad agevolare la condivisione dei dati, anche rafforzando la fiducia in quegli intermediari di condivisione dei dati che si prevede saranno utilizzati nei diversi spazi di dati. Non mira invece a concedere, modificare o sopprimere i diritti sostanziali in materia di accesso ai dati e del loro utilizzo. Questo tipo di misure è previsto per un'eventuale legge sui dati (2021) 7 .
L'atto si ispira ai principi per la gestione e il riutilizzo dei dati che sono stati elaborati per i dati di ricerca. I principi "FAIR" 8 per i dati stabiliscono che tali dati dovrebbero, in linea di principio, essere reperibili, accessibili, interoperabili e riutilizzabili.
•Coerenza con le altre normative dell'Unione
È stata attuata e/o si trova in fase di preparazione una normativa settoriale specifica sull'accesso ai dati volta ad affrontare i fallimenti di mercato rilevati in campi quali il settore automobilistico 9 , i prestatori di servizi di pagamento 10 , le informazioni sulla misurazione intelligente 11 , i dati delle reti elettriche 12 , i sistemi di trasporto intelligenti 13 , l'informazione ambientale 14 , l'informazione territoriale 15 e il settore sanitario 16 . La presente proposta sostiene l'utilizzo dei dati messi a disposizione in conformità alle norme vigenti, senza che queste subiscano modifiche o che siano istituiti nuovi obblighi settoriali.
Analogamente, la proposta non pregiudica il diritto della concorrenza, è concepita nel rispetto degli articoli 101 e 102 TFUE e non pregiudica le disposizioni della direttiva 2000/31/CE del Parlamento europeo e del Consiglio, dell'8 giugno 2000, relativa a taluni aspetti giuridici dei servizi della società dell'informazione, in particolare il commercio elettronico, nel mercato interno 17 .
2.BASE GIURIDICA, SUSSIDIARIETÀ E PROPORZIONALITÀ
•Base giuridica
L'articolo 114 del trattato sul funzionamento dell'Unione europea (TFUE) è stato individuato come base giuridica pertinente per il presente regolamento. A norma di tale articolo, l'UE ha adottato misure relative al ravvicinamento delle disposizioni legislative, regolamentari ed amministrative degli Stati membri che hanno per oggetto l'instaurazione o il funzionamento del mercato interno dell'UE. La presente iniziativa è parte della strategia europea per i dati del 2020, volta a rafforzare il mercato unico per i dati. Data la crescente digitalizzazione dell'economia e della società, vi è il rischio che gli Stati membri adottino normative in materia di dati prive di coordinamento, il che accentuerebbe la frammentazione del mercato interno. L'istituzione di strutture e meccanismi di governance volti a creare un approccio coordinato per l'utilizzo dei dati in tutti i settori e in tutti gli Stati membri aiuterà i portatori di interessi dell'economia dei dati a trarre vantaggio dalle dimensioni del mercato unico. Ciò contribuirà alla creazione del mercato unico per i dati, garantendo lo sviluppo e il funzionamento transfrontaliero di nuovi servizi mediante una serie di disposizioni armonizzate.
Le politiche digitali sono una competenza concorrente dell'UE e degli Stati membri. All'articolo 4, paragrafi 2 e 3, TFUE è specificato che, nei settori del mercato interno e dello sviluppo tecnologico, l'UE ha competenza per condurre azioni specifiche senza che l'esercizio di tale competenza possa avere per effetto di impedire agli Stati membri di esercitare la loro.
•Sussidiarietà (per la competenza non esclusiva)
Le imprese hanno spesso bisogno di dati provenienti da numerosi Stati membri per poter sviluppare prodotti e servizi a livello dell'UE, poiché i campioni di dati disponibili nei singoli Stati membri non hanno spesso la ricchezza e la varietà necessarie alla rilevazione di caratteristiche sistematiche dei "Big Data" o all'apprendimento automatico. I prodotti e i servizi basati sui dati sviluppati in uno Stato membro potrebbero inoltre dover essere adattati in base alle preferenze dei clienti di un altro Stato membro, procedimento per cui sono necessari dati locali a livello di Stati membri. È perciò necessario che i dati possano circolare facilmente attraverso catene del valore intersettoriali e a livello dell'UE ed è pertanto essenziale un contesto legislativo altamente armonizzato. Dato inoltre il carattere transfrontaliero della condivisione dei dati e l'importanza di tale condivisione dei dati, soltanto un'azione a livello dell'Unione può garantire la riuscita di un modello europeo per la condivisione dei dati di cui facciano parte intermediari di dati affidabili per la condivisione dei dati tra imprese (B2B) e per spazi di dati personali.
Un mercato unico per i dati dovrebbe garantire che i dati provenienti dal settore pubblico, dalle imprese e dai cittadini possano essere accessibili e utilizzati nel modo più efficace e responsabile, mentre le imprese e i cittadini manterrebbero il controllo dei dati che generano e gli investimenti effettuati per la relativa raccolta sarebbero tutelati. Un maggiore accesso ai dati porterebbe le imprese e gli organismi di ricerca a compiere progressi in termini di sviluppi scientifici rappresentativi e innovazione sul mercato in tutta l'UE, il che è particolarmente importante in situazioni in cui è necessaria un'azione coordinata dell'UE come la crisi COVID-19.
•Proporzionalità
L'iniziativa è proporzionata agli obiettivi perseguiti. La legislazione proposta crea un quadro favorevole che si limita a quanto è necessario per conseguire gli obiettivi. Essa armonizza una serie di pratiche di condivisione dei dati, rispettando nel contempo la prerogativa degli Stati membri di organizzare la propria amministrazione e legiferare in materia di accesso alle informazioni del settore pubblico. Il quadro di notifica per gli intermediari di dati, come pure i meccanismi per l'altruismo dei dati, sono funzionali al conseguimento di un livello più elevato di fiducia in tali servizi, senza che vengano inutilmente limitate tali attività, e allo sviluppo di un mercato interno per lo scambio di tali dati. L'iniziativa concederà inoltre un ampio margine di flessibilità per l'applicazione a livello settoriale, che comprenderà il futuro sviluppo di spazi di dati europei.
Il regolamento proposto comporterà costi finanziari e amministrativi che saranno principalmente a carico delle autorità nazionali, mentre gli utenti dei dati e i fornitori di servizi di condivisione dei dati sopporteranno alcuni costi al fine di garantire il rispetto degli obblighi di cui al presente regolamento. Il vaglio di diverse opzioni, come pure dei relativi costi e benefici previsti, ha portato a una concezione equilibrata dell'atto giuridico. Ciò concederà alle autorità nazionali sufficiente flessibilità per prendere decisioni sul livello degli investimenti finanziari e per valutare le possibilità di recuperare tali costi tramite tasse o oneri amministrativi, offrendo nel contempo un coordinamento generale a livello dell'UE. Analogamente, le spese a carico degli utenti dei dati e dei fornitori di servizi di condivisione saranno compensate dal valore derivante da un più ampio accesso ai dati e da un loro maggiore utilizzo, nonché dalla diffusione sul mercato di nuovi servizi.
•Scelta dell'atto giuridico
La scelta di un regolamento come atto giuridico è giustificata dalla predominanza di elementi che richiedono un'applicazione uniforme che non lasci margini di attuazione agli Stati membri e che crei un quadro pienamente orizzontale. Tali elementi comprendono la notifica per i fornitori di servizi di condivisione dei dati, i meccanismi per l'altruismo dei dati, i principi di base che si applicano al riutilizzo dei dati del settore pubblico che non possono essere messi a disposizione come dati aperti o non sono oggetto di normative settoriali dell'UE, come pure l'istituzione di strutture di coordinamento a livello europeo. L'applicabilità diretta del regolamento eviterebbe un periodo e un processo di attuazione per gli Stati membri, consentendo nel contempo l'istituzione di spazi comuni europei di dati nel prossimo futuro, in linea con il piano di ripresa dell'UE 18 .
Allo stesso tempo le disposizioni del regolamento non sono eccessivamente prescrittive e lasciano agli Stati membri un margine di azione a diversi livelli per quanto concerne gli elementi che non compromettono gli obiettivi dell'iniziativa, in particolare l'organizzazione degli organismi competenti a sostegno degli enti pubblici nei loro compiti relativi al riutilizzo di determinate categorie di dati del settore pubblico.
3.RISULTATI DELLE VALUTAZIONI EX POST, DELLE CONSULTAZIONI DEI PORTATORI DI INTERESSI E DELLE VALUTAZIONI D'IMPATTO
•Consultazioni dei portatori di interessi
Il 19 febbraio 2020, giorno dell'adozione della strategia europea per i dati 19 , è stata avviata una consultazione pubblica, conclusa il 31 maggio 2020. La consultazione, nella quale si indicava esplicitamente che era stata avviata per preparare l'attuale iniziativa, trattava i punti oggetto dell'iniziativa mediante sezioni e domande pertinenti. Era rivolta a tutte le categorie di portatori di interessi.
La Commissione ha ricevuto in totale 806 contributi, di cui 219 da imprese, 119 da associazioni di imprese, 201 da cittadini dell'UE, 98 da istituti universitari/di ricerca e 57 da enti pubblici. Il parere dei consumatori è stato espresso da sette rispondenti, mentre 54 rispondenti rappresentavano organizzazioni non governative (tra cui due organizzazioni ambientaliste). Delle 219 imprese/organizzazioni di imprese, il 43,4 % erano PMI. Nel complesso, il 92,2 % dei contributi provenivano dall'UE-27. Pochissimi rispondenti hanno indicato se la loro organizzazione avesse un ambito di applicazione locale, regionale, nazionale o internazionale.
Sono stati presentati 230 documenti di sintesi, allegati alle risposte al questionario (210) o inviati singolarmente (20). Dai documenti sono emersi diversi pareri sui temi trattati nel questionario online, soprattutto in relazione alla governance sugli spazi comuni di dati. Altri pareri riguardavano i principi fondamentali per tali spazi e manifestavano un forte sostegno per la definizione dell'ordine di priorità delle norme, come pure per il concetto di altruismo dei dati. I documenti hanno inoltre indicato la necessità di tutele nell'elaborazione di misure relative agli intermediari di dati.
•Assunzione e uso di perizie
Al fine di esaminare con gli esperti competenti le condizioni quadro per l'istituzione di spazi comuni europei di dati nei settori individuati, nel 2019 si è tenuta una serie di dieci seminari sugli spazi comuni europei di dati e un ulteriore seminario è stato organizzato a maggio 2020. I seminari hanno riunito oltre 300 portatori di interessi, principalmente dai settori privato e pubblico, trattando vari ambiti (agricoltura, sanità, finanze/banche, energia, trasporti, sostenibilità/ambiente, servizi pubblici, produzione intelligente), come pure aspetti più trasversali (etica dei dati, mercati dei dati). I servizi della Commissione che si occupano dei suddetti settori hanno partecipato ai seminari. I seminari settoriali hanno contribuito a individuare elementi comuni a tutti i settori, che è necessario affrontare mediante l'istituzione di un quadro di governance orizzontale.
•Valutazione d'impatto
Sulla presente proposta è stata effettuata una valutazione d'impatto. Il 9 settembre 2020 il comitato per il controllo normativo ha emesso un parere negativo. Il 5 ottobre 2020 il comitato ha emesso un parere positivo, fatte salve alcune riserve.
La valutazione d'impatto prende in esame gli scenari di base, le opzioni strategiche e il rispettivo impatto su quattro settori di intervento, ossia: a) i meccanismi per un migliore utilizzo dei dati del settore pubblico che non possono essere messi a disposizione come dati aperti; b) un quadro di certificazione o attestazione per gli intermediari di dati; c) le misure a favore dell'altruismo dei dati e d) i meccanismi per coordinare e orientare gli aspetti orizzontali della governance sotto forma di una struttura a livello dell'UE.
Per tutti i settori di intervento l'opzione strategica 1, che prevedeva un coordinamento a livello dell'UE con misure normative non vincolanti, è risultata insufficiente poiché non produrrebbe un cambiamento significativo della situazione rispetto allo scenario di base. L'analisi principale è perciò incentrata sulle opzioni strategiche 2 e 3, che riguardavano rispettivamente un intervento normativo a bassa e alta intensità. L'opzione prescelta è una combinazione di interventi normativi di minore e maggiore intensità e si presenta come descritto di seguito:
per quanto riguarda i meccanismi volti a migliorare l'utilizzo di determinati dati del settore pubblico oggetto di diritti di terzi, sia le opzioni a bassa intensità sia quelle ad alta intensità introdurrebbero norme a livello dell'UE per il riutilizzo di tali informazioni (in particolare la non esclusività). L'intervento normativo a bassa intensità richiederebbe che i singoli enti pubblici che consentono tale riutilizzo siano tecnicamente attrezzati per garantire la piena tutela della protezione dei dati, della privacy e della riservatezza. Sarebbe inoltre previsto l'obbligo per gli Stati membri di istituire almeno un meccanismo di sportello unico per le domande di accesso a tali dati, senza determinarne la forma istituzionale e amministrativa esatta. L'opzione ad alta intensità avrebbe imposto l'istituzione di un organismo unico incaricato dell'autorizzazione dei dati per ogni Stato membro. Considerati i costi e la fattibilità di quest'ultima, l'opzione prescelta consiste nell'intervento normativo di minore intensità.
Per quanto riguarda la certificazione o l'attestazione degli intermediari di dati affidabili, è stato previsto un intervento normativo di minore intensità consistente in un meccanismo volontario di attestazione non vincolante in cui il controllo dell'adeguatezza del rispetto dei requisiti per l'acquisizione o la concessione del marchio verrebbe effettuato dalle autorità competenti designate dagli Stati membri (che possono anche essere i meccanismi di sportello unico altresì istituiti per un migliore riutilizzo dei dati del settore pubblico). L'intervento normativo ad alta intensità consisteva in un regime obbligatorio di certificazione gestito da organismi privati di valutazione della conformità. L'aumento dei costi generato da un regime obbligatorio di certificazione, per il quale il mercato non è abbastanza maturo, avrebbe un impatto potenzialmente proibitivo sulle PMI e sulle start-up; l'intervento normativo di minore intensità è stato pertanto individuato come opzione strategica prescelta. Anche l'intervento normativo di maggiore intensità sotto forma di regime obbligatorio è stato tuttavia individuato come alternativa praticabile, poiché accrescerebbe notevolmente la fiducia nel funzionamento degli intermediari di dati e definirebbe norme chiare su come tali intermediari dovrebbero operare all'interno del mercato europeo dei dati. In seguito a ulteriori discussioni in seno alla Commissione si è optato per una soluzione intermedia. Si tratta di un obbligo di notifica con monitoraggio ex post del rispetto dei requisiti per l'esercizio delle funzioni condotto delle autorità competenti degli Stati membri. La soluzione presenta gli stessi vantaggi di un regime obbligatorio, limitando nel contempo l'onere normativo a carico degli operatori del mercato.
Nel caso dell'altruismo dei dati, l'intervento normativo a bassa intensità consisteva in un quadro di certificazione volontario per le organizzazioni che mirano a offrire tali servizi, mentre l'intervento normativo ad alta intensità prevedeva un quadro di autorizzazione obbligatorio. Poiché quest'ultimo garantirebbe una maggiore fiducia nella messa a disposizione dei dati, che potrebbe portare a una maggiore quantità di dati resi disponibili dagli interessati e dalle imprese e determinare un livello più elevato di sviluppo e ricerca, la relativa opzione è stata segnalata come prescelta nella valutazione d'impatto per il settore di intervento in questione. Le ulteriori discussioni in seno alla Commissione hanno tuttavia messo in luce altre preoccupazioni circa il possibile onere amministrativo a carico delle organizzazioni che praticano l'altruismo dei dati e circa la correlazione degli obblighi con le future iniziative settoriali in materia di altruismo dei dati. Si è perciò optato per una soluzione alternativa, che permettesse alle organizzazioni che praticano l'altruismo dei dati di registrarsi in qualità di "organizzazioni per l'altruismo dei dati riconosciute nell'UE". Tale meccanismo volontario contribuirà ad accrescere la fiducia, rappresentando nel contempo un onere amministrativo minore rispetto sia a un quadro di autorizzazione obbligatorio sia a un quadro di certificazione volontario.
Infine, per quanto riguarda il meccanismo di governance orizzontale europeo, l'intervento normativo a bassa intensità faceva riferimento alla creazione di un gruppo di esperti, mentre l'intervento normativo ad alta intensità consisteva nella creazione di una struttura indipendente dotata di personalità giuridica (simile al comitato europeo per la protezione dei dati). Considerati i costi elevati e la scarsa fattibilità politica dell'introduzione dell'opzione a maggiore intensità, la scelta è ricaduta sull'opzione strategica a bassa intensità.
Lo studio di supporto della valutazione d'impatto 20 ha indicato che, se nello scenario di base è prevista una crescita dell'economia dei dati e del valore economico della condivisione dei dati fino a raggiungere, secondo le stime, una cifra compresa tra i 533 e i 510 miliardi di EUR (3,87 % del PIL), con l'opzione combinata prescelta tale cifra si attesterebbe tra i 540,7 e i 544,4 miliardi di EUR (tra 3,92 % e 3,95 % del PIL). Tali importi tengono conto solo in misura limitata dei vantaggi a valle in termini di prodotti migliori, maggiore produttività e nuovi modi di affrontare le sfide per la società (ad es. i cambiamenti climatici). È probabile infatti che tali vantaggi siano nettamente maggiori rispetto ai vantaggi diretti.
Allo stesso tempo questa opzione strategica combinata permetterebbe la creazione di un modello europeo per la condivisione dei dati capace di offrire un approccio alternativo all'attuale modello commerciale per le piattaforme tecnologiche integrate mediante la creazione di intermediari di dati neutrali. Si tratta di un'iniziativa che potrebbe rivelarsi determinante per l'economia dei dati, infondendo fiducia nella condivisione dei dati e incentivando lo sviluppo di spazi comuni europei di dati nei quali le persone fisiche e giuridiche mantengono il controllo sui dati che generano.
•Diritti fondamentali
Poiché i dati personali rientrano nell'ambito di applicazione di alcuni elementi del regolamento, le misure sono concepite in modo tale da essere pienamente conformi alla legislazione in materia di protezione dei dati e da aumentare concretamente il controllo esercitato dalle persone fisiche sui dati che esse stesse generano.
Per quanto riguarda il riutilizzo dei dati del settore pubblico, verrà garantito il rispetto dei diritti fondamentali di protezione dei dati, privacy e proprietà (relativi ai diritti di proprietà per determinati dati, ad es. di carattere commerciale riservato o protetti da diritti di proprietà intellettuale). Analogamente, i fornitori di servizi di condivisione dei dati che offrono servizi agli interessati dovranno rispettare le norme applicabili in materia di protezione dei dati.
Il quadro di notifica per gli intermediari di dati inciderebbe sulla libertà d'impresa, poiché imporrebbe alcune restrizioni sotto forma di diversi obblighi come prerequisito per il funzionamento di tali entità.
4.INCIDENZA SUL BILANCIO
La proposta non avrà alcuna incidenza sul bilancio.
5.ALTRI ELEMENTI
•Piani attuativi e modalità di monitoraggio, valutazione e informazione
Vista la natura dinamica dell'economia dei dati, il monitoraggio dell'evoluzione degli impatti rappresenta una parte fondamentale dell'intervento in questo campo. È necessario monitorare e valutare l'attuazione del presente regolamento al fine di garantire che le misure strategiche selezionate producano effettivamente i risultati attesi e per orientare eventuali future revisioni.
Il monitoraggio degli obiettivi specifici e degli obblighi normativi sarà effettuato mediante indagini rappresentative presso i portatori di interessi, mediante il lavoro del centro di supporto per la condivisione dei dati, attraverso la documentazione del comitato europeo per l'innovazione in materia di dati sui diversi settori di intervento indicati dalle apposite autorità nazionali e mediante uno studio valutativo a sostegno del riesame dell'atto.
•Illustrazione dettagliata delle singole disposizioni della proposta
Il capo I definisce l'oggetto del regolamento e stabilisce le definizioni utilizzate in tutto l'atto giuridico.
Il capo II istituisce un meccanismo per il riutilizzo di determinate categorie di dati protetti detenuti da enti pubblici, che è subordinato al rispetto dei diritti di terzi (in particolare per motivi di protezione dei dati personali, ma anche di protezione dei diritti di proprietà intellettuale e riservatezza commerciale). Tale meccanismo non pregiudica la normativa settoriale dell'UE in materia di accesso e riutilizzo di tali dati. Il riutilizzo di tali dati non rientra nell'ambito di applicazione della direttiva (UE) 2019/1024 (direttiva sull'apertura dei dati). Le disposizioni del capo in oggetto non creano il diritto di riutilizzo dei dati, ma istituiscono una serie di condizioni armonizzate di base che consentono il riutilizzo di tali dati (ad es. il requisito di non esclusività). Gli enti pubblici che consentono tale riutilizzo dovrebbero essere tecnicamente attrezzati per garantire la piena tutela della protezione dei dati, della privacy e della riservatezza. Gli Stati membri dovranno istituire un punto di contatto unico a sostegno dei ricercatori e delle imprese innovative per l'identificazione dei dati idonei; essi sono inoltre tenuti a creare strutture per sostenere gli enti pubblici con mezzi tecnici e assistenza giudiziaria.
Il capo III mira ad accrescere la fiducia nella condivisione dei dati personali e non personali, come pure a ridurre i costi di transazione relativi alla condivisione dei dati tra imprese (B2B) e da consumatore a impresa (C2B) grazie alla creazione di un regime di notifica per i fornitori di servizi di condivisione dei dati. Tali fornitori dovranno soddisfare una serie di requisiti, in particolare quello di rimanere neutrali in merito ai dati scambiati. Non possono utilizzare tali dati per altri scopi. Nel caso dei fornitori di servizi di condivisione dei dati che offrono i loro servizi a persone fisiche dovrà inoltre essere soddisfatto il criterio aggiuntivo di assunzione degli obblighi fiduciari nei confronti di chi li utilizza.
L'approccio è volto a garantire un funzionamento aperto e collaborativo dei servizi di condivisione dei dati e a rafforzare il ruolo delle persone fisiche e giuridiche offrendo loro una migliore panoramica dei loro dati e un maggiore controllo sugli stessi. Un'autorità competente designata dagli Stati membri sarà responsabile del monitoraggio della conformità ai requisiti connessi alla fornitura di tali servizi.
Il capo IV agevola l'altruismo dei dati (dati messi a disposizione su base volontaria da parte di individui o imprese per il bene comune). Esso istituisce la possibilità per le organizzazioni che praticano l'altruismo dei dati di registrarsi in qualità di "organizzazioni per l'altruismo dei dati riconosciute nell'UE" al fine di accrescere la fiducia nelle loro attività. Sarà inoltre sviluppato un modulo europeo comune di consenso all'altruismo dei dati per ridurre i costi della raccolta dei consensi e facilitare la portabilità dei dati (qualora i dati da mettere a disposizione non siano detenuti dai singoli individui).
Il capo V stabilisce i requisiti per il funzionamento delle autorità competenti incaricate del monitoraggio e dell'attuazione del quadro di notifica per i fornitori di servizi di condivisione dei dati e per gli enti che praticano l'altruismo dei dati. Contiene inoltre disposizioni sul diritto di presentare reclami contro le decisioni di tali enti e sui mezzi di ricorso giurisdizionale.
Il capo VI istituisce un gruppo formale di esperti (il "comitato europeo per l'innovazione in materia di dati"), che agevolerà lo sviluppo di migliori prassi da parte delle autorità degli Stati membri, in particolare per quanto riguarda il trattamento delle domande di riutilizzo di dati oggetto dei diritti di terzi (a norma del capo II), la garanzia di una prassi coerente in merito al quadro di notifica per i fornitori di servizi di condivisione dei dati (a norma del capo III) e l'altruismo dei dati (capo IV). Il gruppo formale di esperti fornirà inoltre sostegno e consulenza alla Commissione sul fronte della governance della normazione intersettoriale e della preparazione di richieste strategiche di normazione intersettoriale. Tale capo definisce inoltre la composizione del comitato e ne organizza il funzionamento.
Il capo VII consente alla Commissione di adottare atti di esecuzione riguardanti il modulo europeo di consenso all'altruismo dei dati.
Il capo VIII contiene disposizioni transitorie per il funzionamento del regime di autorizzazione generale per i fornitori di servizi di condivisione dei dati e prevede disposizioni finali.
2020/0340 (COD)
Proposta di
REGOLAMENTO DEL PARLAMENTO EUROPEO E DEL CONSIGLIO
relativo alla governance europea dei dati
(Atto sulla governance dei dati)
(Testo rilevante ai fini del SEE)
IL PARLAMENTO EUROPEO E IL CONSIGLIO DELL'UNIONE EUROPEA,
visto il trattato sul funzionamento dell'Unione europea, in particolare l'articolo 114,
vista la proposta della Commissione europea,
previa trasmissione del progetto di atto legislativo ai parlamenti nazionali,
visto il parere del Comitato economico e sociale europeo 21 ,
visto il parere del Comitato delle regioni 22 ,
deliberando secondo la procedura legislativa ordinaria,
considerando quanto segue:
(1)Il trattato sul funzionamento dell'Unione europea (TFUE) prevede l'instaurazione di un mercato interno e l'istituzione di un regime inteso a garantire l'assenza di distorsioni della concorrenza sul mercato interno. L'istituzione di norme e pratiche comuni negli Stati membri in relazione all'elaborazione di un quadro per la governance dei dati dovrebbe contribuire al conseguimento di tali obiettivi.
(2)Nel corso degli ultimi anni le tecnologie digitali hanno trasformato l'economia e la società, influenzando tutti i settori di attività nonché la vita quotidiana. I dati sono al centro di questa trasformazione: l'innovazione guidata dai dati genererà benefici enormi per i cittadini, ad esempio tramite il miglioramento della medicina personalizzata, le nuove soluzioni di mobilità e il contributo che apporta al Green Deal europeo 23 . Nella sua strategia per i dati 24 la Commissione ha descritto la visione di uno spazio comune europeo di dati: un mercato unico dei dati nel quale questi ultimi possano essere utilizzati indipendentemente dal loro luogo fisico di conservazione nell'Unione, nel rispetto della normativa applicabile. Ha inoltre invitato a garantire la circolazione libera e sicura dei dati con i paesi terzi, soggetta a eccezioni e restrizioni per ragioni di pubblica sicurezza, ordine pubblico e nell'ottica di altri legittimi obiettivi di politica pubblica dell'Unione europea, in linea con gli obblighi internazionali. Al fine di trasformare tale visione in realtà, la Commissione propone di istituire spazi comuni europei di dati specifici per dominio, che costituiscano un quadro concreto di condivisione e messa in comune dei dati. Come previsto nella suddetta strategia, tali spazi comuni europei di dati interesseranno settori quali la sanità, la mobilità, l'industria manifatturiera, i servizi finanziari, l'energia, l'agricoltura o ambiti strategici quali il Green Deal europeo o gli spazi europei di dati per la pubblica amministrazione o le competenze.
(3)È necessario migliorare le condizioni per la condivisione dei dati nel mercato interno, creando un quadro armonizzato per gli scambi di dati. La legislazione settoriale può sviluppare, adeguare e proporre elementi nuovi e complementari, a seconda delle specificità del settore, come nel caso della prevista legislazione sullo spazio comune europeo dei dati sanitari 25 e sull'accesso ai dati dei veicoli. Taluni settori economici sono inoltre già disciplinati da norme settoriali a livello dell'Unione che comprendono le norme in materia di condivisione di dati o di accesso ai dati a livello transfrontaliero o dell'Unione 26 . Il presente regolamento lascia pertanto impregiudicato il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio 27 (in particolare l'attuazione del presente regolamento non impedisce che abbiano luogo trasferimenti transfrontalieri di dati conformemente al capo V del regolamento (UE) 2016/679), la direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio 28 , la direttiva (UE) 2016/943 del Parlamento europeo e del Consiglio 29 , il regolamento (UE) 2018/1807 del Parlamento europeo e del Consiglio 30 , il regolamento (CE) n. 223/2009 del Parlamento europeo e del Consiglio 31 , la direttiva 2000/31/CE del Parlamento europeo e del Consiglio 32 , la direttiva 2001/29/CE del Parlamento europeo e del Consiglio 33 , la direttiva (UE) 2019/790 del Parlamento europeo e del Consiglio 34 , la direttiva 2004/48/CE del Parlamento europeo e del Consiglio 35 , la direttiva (UE) 2019/1024 del Parlamento europeo e del Consiglio 36 , nonché il regolamento (UE) 2018/858 del Parlamento europeo e del Consiglio 37 , la direttiva 2010/40/UE del Parlamento europeo e del Consiglio 38 e i regolamenti delegati adottati in base a quest'ultima, e ogni altra legislazione settoriale dell'Unione che disciplina l'accesso ai dati e il loro riutilizzo. Il presente regolamento dovrebbe lasciare impregiudicato l'accesso ai dati e il loro utilizzo ai fini della cooperazione internazionale nell'ambito della prevenzione, dell'indagine, dell'accertamento e del perseguimento di reati o dell'esecuzione di sanzioni penali. È opportuno istituire un regime orizzontale per il riutilizzo di talune categorie di dati protetti detenuti da enti pubblici e per la fornitura di servizi di condivisione dei dati e di servizi basati sull'altruismo dei dati nell'Unione. Le caratteristiche specifiche dei diversi settori potrebbero imporre la progettazione di sistemi settoriali basati sui dati, sulla base dei requisiti del presente regolamento. Qualora un atto giuridico settoriale dell'Unione imponga agli enti pubblici, ai fornitori di servizi di condivisione dei dati o alle entità registrate che forniscono servizi di altruismo dei dati di rispettare specifici requisiti tecnici, amministrativi o organizzativi aggiuntivi, anche attraverso un regime di autorizzazione o certificazione, si dovrebbero applicare anche le disposizioni di tale atto giuridico settoriale dell'Unione.
(4)L'azione a livello dell'Unione è necessaria al fine di affrontare gli ostacoli al buon funzionamento di un'economia basata sui dati e predisporre un quadro di governance a livello dell'Unione per l'accesso ai dati e il loro utilizzo, in particolare per quanto riguarda il riutilizzo di alcune tipologie di dati detenuti dal settore pubblico, la fornitura di servizi di condivisione dei dati da parte dei fornitori agli utenti commerciali e agli interessati, nonché la raccolta e il trattamento dei dati messi a disposizione a fini altruistici da persone fisiche e giuridiche.
(5)L'idea che i dati generati a carico dei bilanci pubblici dovrebbero apportare benefici alla società in generale è da molto tempo parte delle politiche dell'Unione. La direttiva (UE) 2019/1024 e la legislazione settoriale garantiscono che il settore pubblico renda facilmente disponibile per l'utilizzo e il riutilizzo una quota maggiore dei dati che produce. Spesso talune categorie di dati (dati commerciali riservati, dati statistici protetti dal segreto, dati protetti da diritti di proprietà intellettuale di terzi, compresi segreti commerciali e dati personali non accessibili sulla base di una specifica legislazione nazionale o dell'Unione, quali il regolamento (UE) 2016/679 e la direttiva (UE) 2016/680) non sono tuttavia messe a disposizione A causa della sensibilità di tali dati, prima che essi siano messi a disposizione si devono soddisfare alcuni requisiti procedurali tecnici e giuridici al fine di garantire il rispetto dei diritti di terzi sui dati in questione. Si tratta di requisiti la cui soddisfazione risulta abitualmente molto dispendiosa in termini di tempo e richiede un livello molto elevato di conoscenze. Ciò ha determinato un sottoutilizzo di tali dati. Per quanto alcuni Stati membri stiano adottando strutture, processi e, talvolta, leggi per agevolare tale tipo di riutilizzo, ciò non accade in tutta l'Unione.
(6)Esistono tecniche, quali l'anonimizzazione, la pseudonimizzazione, la privacy differenziale, la generalizzazione o la soppressione e la casualizzazione, che consentono l'analisi, nel rispetto della privacy, di banche dati contenenti dati personali. Il riutilizzo sicuro dei dati personali e dei dati commerciali riservati, a fini statistici, di ricerca e di innovazione, dovrebbe essere garantito dall'applicazione di tali tecnologie di rafforzamento della privacy, unite ad approcci globali in materia di protezione dei dati. Di conseguenza, in molti casi l'utilizzo e il riutilizzo dei dati in tale contesto è possibile solo in un ambiente di trattamento sicuro predisposto e controllato dal settore pubblico. L'uso di simili ambienti di trattamento sicuro è già stato sperimentato a livello dell'Unione ai fini della ricerca su microdati statistici, sulla base del regolamento (UE) n. 557/2013 della Commissione 39 . Per quanto concerne i dati personali, il trattamento dovrebbe in generale essere basato su una o più delle condizioni previste all'articolo 6 del regolamento (UE) 2016/679.
(7)Le categorie di dati detenuti da enti pubblici, che dovrebbero essere soggetti al riutilizzo a norma del presente regolamento, non rientrano nell'ambito di applicazione della direttiva (UE) 2019/1024, che esclude i dati che non sono accessibili per motivi di riservatezza commerciale o statistica e i dati su cui terzi detengono diritti di proprietà intellettuale. I dati personali non rientrano nell'ambito di applicazione della direttiva (UE) 2019/1024 nella misura in cui il regime di accesso esclude o limita l'accesso a tali dati per motivi di protezione dei dati, della privacy e dell'integrità dell'individuo, conformemente in particolare alle norme in materia di protezione dei dati. Il riutilizzo di dati che possono contenere segreti commerciali dovrebbe avere luogo senza pregiudicare la direttiva (UE) 2016/943 40 , che istituisce un quadro per l'acquisizione, l'utilizzo e la divulgazione leciti dei segreti commerciali. Il presente regolamento non pregiudica e integra gli obblighi più specifici degli enti pubblici, stabiliti nella normativa settoriale dell'Unione o nazionale, quanto alla facoltà di consentire il riutilizzo dei dati.
(8)Il regime di riutilizzo previsto dal presente regolamento dovrebbe applicarsi a dati la cui fornitura è parte dei compiti di servizio pubblico degli enti pubblici coinvolti, quali definiti dal diritto o da altre norme vincolanti negli Stati membri. In mancanza di tali norme, i compiti di servizio pubblico dovrebbero essere definiti in linea con le comuni prassi amministrative degli Stati membri, a condizione che la portata di detti compiti sia trasparente e soggetta a revisione. I compiti di servizio pubblico potrebbero essere definiti in linea generale o caso per caso per i singoli enti pubblici. Poiché le imprese pubbliche non rientrano nella definizione di ente pubblico, i dati da esse detenuti non dovrebbero essere disciplinati dal presente regolamento. I dati detenuti da istituti culturali e di istruzione per i quali i diritti di proprietà intellettuale non sono accessori, ma che sono contenuti prevalentemente in opere e altri documenti protetti da tali diritti di proprietà intellettuale, non sono contemplati dal presente regolamento.
(9)È opportuno che gli enti pubblici rispettino il diritto della concorrenza nello stabilire i principi per il riutilizzo dei dati da essi detenuti, evitando per quanto possibile la conclusione di accordi che potrebbero avere quale obiettivo o conseguenza la creazione di diritti esclusivi per il riutilizzo di taluni dati. Un accordo di tale tenore dovrebbe essere possibile solo se giustificato e necessario per la fornitura di un servizio di interesse generale. Tale caso potrebbe presentarsi quando l'utilizzo esclusivo dei dati rappresenta l'unico modo per massimizzare i benefici sociali dei dati in questione, ad esempio quando esiste un'unica entità (che si è specializzata nel trattamento di uno specifico set di dati) in grado di fornire il servizio o il prodotto che consente all'ente pubblico di fornire a sua volta un servizio digitale avanzato di interesse generale. Simili accordi dovrebbero tuttavia essere conclusi rispettando le norme in materia di appalti pubblici ed essere soggetti a un riesame periodico basato un'analisi di mercato al fine di accertare che tale esclusività continui ad essere necessaria. Tali accordi dovrebbero inoltre rispettare, ove opportuno, le pertinenti norme in materia di aiuti di Stato e dovrebbero essere conclusi per un periodo limitato che non dovrebbe essere superiore a tre anni. Al fine di garantire trasparenza, è opportuno pubblicare online tali accordi di esclusiva, indipendentemente dall'eventuale pubblicazione dell'aggiudicazione di un appalto pubblico.
(10)Gli accordi di esclusiva vietati ed altre pratiche o accordi tra titolari dei dati e riutilizzatori dei dati, che non concedono espressamente diritti esclusivi, ma che lasciano ragionevolmente prevedere una possibile limitazione della disponibilità dei dati per il riutilizzo e che sono stati conclusi o erano già validi prima dell'entrata in vigore del presente regolamento, non dovrebbero essere rinnovati dopo la scadenza della loro validità. Gli accordi a più lungo termine o conclusi per un periodo indeterminato dovrebbero essere risolti entro tre anni dalla data di entrata in vigore del presente regolamento.
(11)È opportuno stabilire le condizioni per il riutilizzo dei dati protetti da applicarsi agli enti pubblici che, a norma del diritto nazionale, hanno facoltà di consentirne il riutilizzo; tali condizioni dovrebbero lasciare impregiudicati i diritti e gli obblighi relativi all'accesso a tali dati. Esse dovrebbero essere non discriminatorie, proporzionate e oggettivamente giustificate e non dovrebbero limitare la concorrenza. Gli enti pubblici che hanno facoltà di consentire il riutilizzo dovrebbero in particolare disporre dei mezzi tecnici necessari per garantire la protezione dei diritti e degli interessi di terzi. È opportuno limitare le condizioni cui è subordinato il riutilizzo dei dati a quanto necessario per tutelare i diritti e gli interessi di terzi nei dati e l'integrità dei sistemi informatici e di comunicazione degli enti pubblici. Gli enti pubblici dovrebbero applicare le condizioni che meglio rispondono agli interessi del riutilizzatore senza comportare uno sforzo sproporzionato per il settore pubblico. A seconda dei casi, prima della loro trasmissione i dati personali dovrebbero essere completamente anonimizzati, affinché non sia in nessun caso consentita l'identificazione degli interessati, mentre i dati contenenti informazioni commerciali riservate dovrebbero essere modificati in modo tale da non divulgare alcuna informazione riservata. Qualora la fornitura di dati anonimizzati o modificati non rispondesse alle esigenze del riutilizzatore, potrebbe essere consentito il riutilizzo in loco o remoto dei dati in un ambiente di trattamento sicuro. È opportuno che le analisi dei dati in tali ambienti di trattamento sicuri siano controllate dall'ente pubblico al fine di proteggere i diritti e gli interessi di terzi. In particolare, i dati personali dovrebbero essere trasmessi a terzi per il riutilizzo soltanto laddove una base giuridica consenta tale trasmissione. L'ente pubblico potrebbe subordinare l'uso di tale ambiente di trattamento sicuro alla firma da parte del riutilizzatore di un accordo di riservatezza che vieti la divulgazione di qualsiasi informazione che comprometta i diritti e gli interessi di terzi e che il riutilizzatore possa aver acquisito malgrado le misure di tutela adottate. Gli enti pubblici dovrebbero, ove pertinente, agevolare il riutilizzo dei dati sulla base del consenso degli interessati e delle autorizzazioni delle persone giuridiche al riutilizzo dei dati che li riguardano mediante mezzi tecnici adeguati. A tale riguardo, l'ente pubblico dovrebbe sostenere i potenziali riutilizzatori nella ricerca di tale consenso, istituendo meccanismi tecnici che permettano di trasmettere le richieste di consenso formulate dai riutilizzatori, ove ciò sia fattibile nella pratica. Non dovrebbe essere fornita nessuna informazione che consenta ai riutilizzatori di contattare direttamente gli interessati o le imprese.
(12)Il presente regolamento non dovrebbe incidere sui diritti di proprietà intellettuale di terzi. Esso dovrebbe altresì lasciare impregiudicate l'esistenza o la titolarità di diritti di proprietà intellettuale degli enti pubblici e non dovrebbe limitare in alcun modo l'esercizio di tali diritti al di là di quanto da esso stabilito. Gli obblighi imposti a norma del presente regolamento si dovrebbero applicare soltanto nella misura in cui siano compatibili con gli accordi internazionali sulla protezione dei diritti di proprietà intellettuale, in particolare la convenzione di Berna per la protezione delle opere letterarie e artistiche ("convenzione di Berna"), l'accordo sugli aspetti dei diritti di proprietà intellettuale attinenti al commercio ("accordo TRIPS") e il trattato dell'OMPI sul diritto d'autore (WIPO Copyright Treaty — WCT). Gli enti pubblici dovrebbero comunque esercitare il proprio diritto di autore in maniera tale da agevolare il riutilizzo dei dati.
(13)I dati protetti da diritti di proprietà intellettuale, come pure i segreti commerciali, dovrebbero unicamente essere trasmessi a terzi qualora tale trasmissione sia lecita in virtù del diritto dell'Unione o nazionale o con il consenso del titolare dei diritti. Nel caso in cui sia accordato agli enti pubblici il diritto di cui all'articolo 7, paragrafo 1, della direttiva 96/9/CE del Parlamento europeo e del Consiglio 41 , essi non dovrebbero esercitare tale diritto per impedire il riutilizzo dei dati o limitarlo più di quanto stabilito dal presente regolamento.
(14)Le imprese e gli interessati dovrebbero poter confidare nel fatto che il riutilizzo di determinate categorie di dati protetti, detenuti dal settore pubblico, sarà effettuato in maniera tale da rispettare i loro diritti e interessi. È pertanto opportuno predisporre tutele supplementari per situazioni nelle quali il riutilizzo di tali dati del settore pubblico ha luogo sulla base di un trattamento dei dati al di fuori di tale settore. Una simile tutela supplementare potrebbe consistere nell'obbligo per gli enti pubblici di tenere pienamente in considerazione i diritti e gli interessi delle persone fisiche e giuridiche (in particolare la protezione dei dati personali, dei dati commerciali sensibili e dei diritti di proprietà intellettuale) in caso di trasferimento di tali dati a paesi terzi.
(15)È inoltre importante proteggere i dati commerciali sensibili di natura non personale, in particolare i segreti commerciali, ma anche i dati non personali che costituiscono un contenuto protetto da diritti di proprietà intellettuale da un accesso illecito che possa portare al furto della proprietà intellettuale o allo spionaggio industriale. Al fine di garantire la protezione dei diritti o degli interessi fondamentali dei titolari dei dati, i dati non personali che devono essere protetti da accessi illeciti o non autorizzati a norma del diritto dell'Unione o nazionale e che sono detenuti da enti pubblici dovrebbero essere trasferiti solo a paesi terzi in cui sono previste garanzie adeguate per l'utilizzo dei dati. Si dovrebbe ritenere che tali tutele adeguate esistano se in tale paese terzo sono in vigore misure equivalenti che garantiscono che i dati non personali beneficino di un livello di protezione analogo a quello applicabile mediante il diritto dell'Unione o nazionale, in particolare per quanto riguarda la protezione dei segreti commerciali e dei diritti di proprietà intellettuale. La Commissione può a tal fine adottare atti di esecuzione che dichiarino che un paese terzo fornisce un livello di protezione che è sostanzialmente equivalente a quelli previsti dal diritto dell'Unione o nazionale. La valutazione del livello di protezione conseguito in tale paese terzo dovrebbe in particolare tenere in considerazione la legislazione pertinente, sia generale sia settoriale, anche in materia di pubblica sicurezza, difesa, sicurezza nazionale e diritto penale relativo all'accesso ai dati non personali e alla loro protezione, qualsiasi accesso da parte delle autorità pubbliche di tale paese terzo ai dati trasferiti, l'esistenza e l'effettivo funzionamento nel paese terzo di una o più autorità di vigilanza indipendenti responsabili di garantire e far rispettare il regime giuridico che assicura l'accesso a tali dati, o gli impegni internazionali dei paesi terzi in materia di protezione dei dati sottoscritti dal paese in questione, o altri obblighi derivanti da convenzioni o strumenti giuridicamente vincolanti, nonché la partecipazione del paese terzo a sistemi multilaterali o regionali. L'esistenza di mezzi di ricorso effettivi per i titolari dei dati, gli enti pubblici o i fornitori di servizi di condivisione dei dati nel paese terzo in questione riveste un'importanza particolare nel contesto del trasferimento di dati non personali a tale paese terzo. Tali tutele dovrebbero pertanto comprendere la disponibilità di diritti azionabili e mezzi di ricorso effettivi.
(16)Nei casi in cui la Commissione non ha adottato un atto di esecuzione in relazione a un paese terzo nel quale dichiara che il livello di protezione fornito da tale paese, in particolare per quanto riguarda la protezione dei dati commerciali sensibili e dei diritti di proprietà intellettuale, è sostanzialmente equivalente a quello previsto dal diritto dell'Unione o nazionale, l'ente pubblico dovrebbe trasmettere i dati protetti a un riutilizzatore solo se quest'ultimo sottoscrive obblighi nell'interesse della protezione dei dati. Il riutilizzatore che intende trasferire i dati a tale paese terzo dovrebbe impegnarsi a rispettare gli obblighi sanciti dal presente regolamento anche dopo l'avvenuto trasferimento al paese terzo dei dati. Per garantire la corretta applicazione di tali obblighi il riutilizzatore dovrebbe altresì accettare la giurisdizione dello Stato membro dell'ente pubblico che ha consentito il riutilizzo ai fini della risoluzione giudiziale delle controversie.
(17)Alcuni paesi terzi adottano leggi, regolamenti e altri atti giuridici che mirano a trasferire direttamente i dati non personali o a fornire un accesso diretto agli stessi nell'Unione, sotto il controllo di persone fisiche e giuridiche poste sotto la giurisdizione degli Stati membri. Le sentenze di autorità giurisdizionali o le decisioni di autorità amministrative di paesi terzi che dispongono un tale trasferimento di dati non personali o l'accesso agli stessi dovrebbero avere carattere esecutivo quando sono basate su un accordo internazionale in vigore tra il paese terzo richiedente e l'Unione o un suo Stato membro, ad esempio un trattato di mutua assistenza giudiziaria. Possono in alcuni casi presentarsi situazioni in cui l'obbligo di trasferire i dati non personali o di fornirvi accesso, derivante dalla normativa di un paese terzo, sia in conflitto con un obbligo concorrente di proteggere tali dati a norma del diritto dell'Unione o nazionale, in particolare per quanto riguarda la protezione dei dati commerciali sensibili e dei diritti di proprietà intellettuale, compresi anche gli obblighi contrattuali in materia di riservatezza conformemente a tale normativa. In assenza di accordi internazionali atti a disciplinare simili questioni, il trasferimento o l'accesso dovrebbero essere consentiti solo a determinate condizioni, in particolare: che il sistema del paese terzo imponga che siano indicati i motivi e la proporzionalità della decisione, che la sentenza o decisione abbia carattere specifico e che l'obiezione motivata del destinatario sia sottoposta a riesame da un organo giurisdizionale competente nel paese terzo, cui sia conferito il potere di tenere debitamente conto dei pertinenti interessi giuridici del fornitore di tali dati.
(18)Per prevenire un accesso illecito a dati non personali, gli enti pubblici, le persone fisiche o giuridiche cui è stato concesso il diritto di riutilizzare i dati, i fornitori di servizi di condivisione dei dati e le entità iscritte nel registro delle organizzazioni per l'altruismo dei dati dovrebbero adottare tutte le misure ragionevoli per impedire l'accesso ai sistemi in cui sono conservati dati non personali, a inclusione di cifratura dei dati e politiche aziendali.
(19)Al fine di creare fiducia nei meccanismi di riutilizzo, può essere necessario prevedere condizioni più rigorose per determinati tipi di dati non personali ritenuti altamente sensibili per quanto riguarda il trasferimento a paesi terzi, se tale trasferimento può compromettere obiettivi di politica pubblica, in linea con gli impegni internazionali. Nel settore della sanità, ad esempio, determinati set di dati detenuti da soggetti operanti nel sistema sanitario pubblico, quali gli ospedali pubblici, potrebbero essere considerati dati sanitari altamente sensibili. Per garantire pratiche armonizzate in tutta l'Unione, tali tipologie di dati pubblici non personali altamente sensibili dovrebbero essere definite dal diritto dell'Unione, ad esempio nel contesto dello spazio europeo dei dati sanitari o di altre legislazioni settoriali. È opportuno stabilire le condizioni cui è subordinato il trasferimento di tali dati a paesi terzi mediante atti delegati. Le condizioni dovrebbero essere proporzionate, non discriminatorie e necessarie per tutelare i legittimi obiettivi di politica pubblica individuati, quali la protezione della salute pubblica, l'ordine pubblico, la sicurezza, l'ambiente, la morale pubblica e la protezione dei consumatori, della privacy e dei dati personali. Le condizioni dovrebbero corrispondere ai rischi identificati in relazione alla sensibilità di tali dati, anche in termini di rischi di reidentificazione dei singoli individui. Tali condizioni potrebbero includere termini applicabili per il trasferimento o modalità tecniche, quali l'obbligo di utilizzare un ambiente di trattamento sicuro, limiti relativi al riutilizzo dei dati nei paesi terzi o categorie di persone aventi facoltà di trasferire tali dati a paesi terzi o che possono accedere ai dati nel paese terzo. In casi eccezionali potrebbero inoltre comprendere restrizioni al trasferimento dei dati a paesi terzi per tutelare l'interesse pubblico.
(20)Gli enti pubblici dovrebbero poter imporre tariffe per il riutilizzo dei dati, ma dovrebbero altresì poter decidere di mettere a disposizione i dati a costi inferiori o gratuitamente, ad esempio per determinate categorie di riutilizzo quali il riutilizzo a fini non commerciali o il riutilizzo da parte delle piccole e medie imprese, in modo da incentivare tale riutilizzo al fine di stimolare la ricerca e l'innovazione e sostenere le imprese che rappresentano un'importante fonte di innovazione e incontrano generalmente maggiori difficoltà a raccogliere esse stesse dati pertinenti, in linea con la normativa in materia di aiuti di Stato. Tali tariffe dovrebbero essere ragionevoli, trasparenti, pubblicate online e non discriminatorie.
(21)Al fine di incentivare il riutilizzo di tali categorie di dati, gli Stati membri dovrebbero istituire uno sportello unico che costituisca l'interfaccia principale con i riutilizzatori che intendono riutilizzare tali dati detenuti da enti pubblici. Lo sportello dovrebbe avere un mandato intersettoriale e integrare, ove necessario, gli accordi a livello settoriale. Gli Stati membri dovrebbero inoltre designare, istituire o agevolare l'istituzione di organismi competenti per sostenere le attività degli enti pubblici che hanno facoltà di consentire il riutilizzo di determinate categorie di dati protetti. I loro compiti possono comprendere la concessione dell'accesso ai dati, ove previsto dalla legislazione settoriale dell'Unione o degli Stati membri. Tali organismi competenti dovrebbero fornire sostegno agli enti pubblici con tecniche all'avanguardia, compresi ambienti di trattamento dei dati sicuri, che consentano modalità di analisi dei dati tali da preservare la riservatezza delle informazioni. Tale struttura di sostegno potrebbe assistere i titolari dei dati nella gestione del consenso, anche in taluni settori della ricerca scientifica laddove vi sia rispetto delle norme deontologiche riconosciute per la ricerca scientifica. Il trattamento dei dati dovrebbe essere effettuato sotto la responsabilità dell'ente pubblico responsabile del registro che contiene i dati, che rimane un titolare del trattamento ai sensi del regolamento (UE) 2016/679 per quanto concerne i dati personali. Gli Stati membri possono disporre di uno o più organismi competenti, che potrebbero operare in settori diversi.
(22)Si prevede che i fornitori di servizi di condivisione dei dati (intermediari di dati) svolgano un ruolo essenziale nell'economia dei dati, operando in qualità di strumenti che agevolano l'aggregazione e lo scambio di quantità considerevoli di dati pertinenti. Gli intermediari di dati che offrono servizi che collegano i diversi soggetti dispongono del potenziale per contribuire alla messa in comune efficiente dei dati come pure all'agevolazione della condivisione bilaterale dei dati. Gli intermediari di dati specializzati, che sono indipendenti tanto dai titolari dei dati quanto dagli utenti dei dati, possono facilitare l'emergere di ecosistemi basati sui dati indipendenti da qualsiasi operatore che detenga un grado significativo di potere di mercato. Il presente regolamento dovrebbe contemplare solo i fornitori di servizi di condivisione dei dati il cui obiettivo principale è la creazione di un rapporto commerciale, giuridico e potenzialmente anche tecnico tra i titolari dei dati, compresi gli interessati, da un lato, e i potenziali utenti, dall'altro, e la prestazione di assistenza a entrambe le parti nelle transazioni reciproche di asset di dati. Il presente regolamento dovrebbe riguardare soltanto i servizi che mirano a garantire un'intermediazione tra un numero indefinito di titolari e un numero indefinito utenti dei dati, a esclusione dei servizi di condivisione dei dati destinati a essere utilizzati da un gruppo chiuso di titolari e utenti dei dati. Dovrebbero essere esclusi i fornitori di servizi cloud, nonché i fornitori di servizi che ottengono dati dai titolari dei dati, li aggregano, arricchiscono o trasformano e concedono licenze per l'utilizzo dei dati risultanti agli utenti dei dati, senza stabilire un rapporto diretto tra i titolari dei dati e gli utenti dei dati, ad esempio intermediari pubblicitari o di dati, consulenti di dati, fornitori di prodotti di dati risultanti dal valore aggiunto ai dati dal fornitore del servizio. Dovrebbe nel contempo essere consentito ai fornitori di servizi di condivisione dei dati di adattare i dati scambiati, ad esempio convertendoli in formati specifici, nella misura in cui tali interventi migliorino l'usabilità dei dati per l'utente dei dati e qualora quest'ultimo lo desideri. Inoltre, il presente regolamento non dovrebbe riguardare i servizi il cui obiettivo principale è l'intermediazione di contenuti, in particolare contenuti protetti da diritto d'autore. Il presente regolamento non dovrebbe contemplare le piattaforme di scambio dei dati utilizzate esclusivamente dai titolari di dati per consentire l'utilizzo dei dati da essi detenuti, come pure le piattaforme sviluppate nel contesto di oggetti e dispositivi connessi all'Internet delle cose il cui principale obiettivo è garantire la funzionalità dell'oggetto o dispositivo connesso e rendere possibili servizi a valore aggiunto. I "fornitori di un sistema consolidato di pubblicazione" ai sensi dell'articolo 4, paragrafo 1, punto 53, della direttiva 2014/65/UE del Parlamento europeo e del Consiglio 42 , al pari dei "prestatori dei servizi di informazione sui conti" ai sensi dell'articolo 4, punto 19, della direttiva (UE) 2015/2366 del Parlamento europeo e del Consiglio 43 non dovrebbero essere considerati fornitori di servizi di condivisione dei dati ai fini del presente regolamento. Il capo III del presente regolamento non dovrebbe riguardare le entità che limitano le proprie attività all'agevolazione dell'utilizzo dei dati messi a disposizione sulla base dell'altruismo dei dati e che operano senza scopo di lucro, poiché tale attività persegue obiettivi di interesse generale aumentando il volume di dati disponibili a tali fini.
(23)Una categoria specifica di intermediari di dati comprende i fornitori di servizi di condivisione dei dati che offrono i loro servizi agli interessati ai sensi del regolamento (UE) 2016/679. Tali fornitori si concentrano esclusivamente sui dati personali e cercano di rafforzare la capacità di agire e il controllo dei singoli individui in merito ai dati che le riguardano. Assisterebbero i singoli individui nell'esercizio dei loro diritti a norma del regolamento (UE) 2016/679, in particolare gestendone il consenso al trattamento dei dati, il diritto all'accesso ai propri dati, il diritto alla rettifica dei dati personali inesatti, il diritto alla cancellazione o "diritto all'oblio", il diritto a limitare il trattamento e il diritto alla portabilità dei dati, che consente agli interessati di trasferire i propri dati personali da un titolare del trattamento a un altro. In tale contesto, è importante che il loro modello commerciale garantisca che non vi siano incentivi disallineati che incoraggino i singoli individui a mettere a disposizione più dati di quanto non sia nel loro stesso interesse. Ciò potrebbe comprendere l'offerta di consulenza ai singoli individui quanto agli utilizzi dei loro dati cui potrebbero acconsentire e il controllo della dovuta diligenza degli utenti dei dati prima che sia consentito loro di contattare gli interessati, al fine di evitare pratiche fraudolente. In alcune situazioni potrebbe essere auspicabile raccogliere dati reali in uno spazio di conservazione dei dati personali, o "spazio di dati personali", affinché il trattamento possa aver luogo all'interno di tale spazio senza che i dati personali siano trasmessi a terzi, al fine di ottimizzare la protezione dei dati personali e della privacy.
(24)Le cooperative di dati mirano a rafforzare la posizione dei singoli individui, affinché compiano scelte informate prima di acconsentire all'utilizzo dei dati, influenzando i termini e le condizioni, stabiliti dalle organizzazioni di utenti dei dati, cui è subordinato l'utilizzo dei dati o risolvendo potenziali controversie tra membri di un gruppo sulle modalità di utilizzo dei dati quando tali dati riguardano più interessati all'interno di tale gruppo. In tale contesto è importante riconoscere che i diritti a norma del regolamento (UE) 2016/679 possono essere esercitati soltanto a titolo individuale e non possono essere conferiti o delegati a una cooperativa di dati. Le cooperative di dati potrebbero altresì rappresentare uno strumento utile per imprese individuali, microimprese e piccole e medie imprese che in termini di conoscenze in materia di condivisione dei dati sono spesso equiparabili ai singoli individui.
(25)Al fine di far crescere la fiducia in tali servizi di condivisione dei dati, in particolare in relazione all'utilizzo dei dati e al rispetto delle condizioni imposte dai titolari dei dati, è necessario istituire un quadro normativo a livello dell'Unione che definirebbe requisiti altamente armonizzati relativi alla fornitura affidabile di tali servizi di condivisione dei dati. Ciò contribuirà a garantire che i titolari e gli utenti dei dati abbiano un maggiore controllo sull'accesso ai propri dati e sul loro utilizzo, conformemente al diritto dell'Unione. Sia in situazioni in cui la condivisione di dati avviene tra due imprese sia quando ha luogo tra impresa e consumatore, i fornitori di servizi di condivisione dei dati dovrebbero offrire una modalità nuova, "europea", di governance dei dati, garantendo una separazione, nell'economia dei dati, tra fornitura, intermediazione e utilizzo. I fornitori di servizi di condivisione dei dati possono anche mettere a disposizione un'infrastruttura tecnica specifica per l'interconnessione di titolari e utenti dei dati.
(26)Un elemento essenziale per infondere fiducia e garantire maggiore controllo ai titolari e agli utenti dei dati nei servizi di condivisione dei dati è la neutralità dei fornitori del servizio di condivisione dei dati riguardo ai dati scambiati tra titolari e utenti dei dati. È pertanto necessario che i fornitori di servizi di condivisione dei dati agiscano solo in qualità di intermediari nelle transazioni e non utilizzino per nessun altro fine i dati scambiati. Ciò renderà altresì necessaria una separazione strutturale tra il servizio di condivisione dei dati e qualsiasi altro servizio fornito, in modo tale da evitare problemi di conflitto di interessi. Ciò significa che il servizio di condivisione dei dati dovrebbe essere fornito mediante un'entità giuridica distinta dalle altre attività di tale fornitore di servizi di condivisione dei dati. I fornitori di servizi di condivisione dei dati che agiscono da intermediari tra i singoli individui, quali i titolari dei dati, e le persone giuridiche dovrebbero inoltre avere l'obbligo fiduciario nei confronti dei singoli individui di garantire che agiscono nel migliore interesse dei titolari dei dati.
(27)Al fine di garantire il rispetto delle condizioni definite nel presente regolamento da parte dei fornitori di servizi di condivisione dei dati, questi ultimi dovrebbero avere un luogo di stabilimento nell'Unione. In alternativa, qualora un fornitore di servizi di condivisione di dati non stabilito nell'Unione offra servizi nell'Unione, questi dovrebbe designare un rappresentante. La designazione di un rappresentante è necessaria poiché tali fornitori di servizi di condivisione dei dati gestiscono sia dati personali sia dati commerciali riservati e ciò necessita il controllo ravvicinato del rispetto, da parte di tali fornitori di servizi, delle condizioni stabilite nel presente regolamento. Per determinare se tale fornitore di servizi di condivisione di dati stia offrendo servizi nell'Unione, è opportuno verificare se risulta che il fornitore di servizi di condivisione di dati stia progettando di fornire servizi a persone in uno o più Stati membri. La mera accessibilità nell'Unione al sito web o a un indirizzo e-mail e ad altri dati di contatto del fornitore di servizi di condivisione di dati o l'utilizzo di una lingua abitualmente utilizzata nel paese terzo in cui è stabilito il fornitore di servizi di condivisione di dati non dovrebbero essere ritenuti sufficienti ad accertare tale intenzione. Tuttavia, fattori quali l'utilizzo di una lingua o di una moneta abitualmente utilizzata in uno o più Stati membri, con la possibilità di ordinare servizi in tale altra lingua, o la menzione di utenti che si trovano nell'Unione possono evidenziare che il fornitore di servizi di condivisione dei dati stia progettando di offrire servizi all'interno dell'Unione. Il rappresentante dovrebbe agire a nome del fornitore di servizi di condivisione dei dati e le autorità competenti dovrebbero avere la possibilità di contattare il rappresentante. Quest'ultimo dovrebbe essere designato mediante mandato scritto del fornitore di servizi di condivisione dei dati affinché agisca a suo nome con riguardo agli obblighi che a quest'ultimo derivano dal presente regolamento.
(28)Il presente regolamento dovrebbe lasciare impregiudicati l'obbligo incombente ai fornitori di servizi di condivisione dei dati di rispettare il regolamento (UE) 2016/679 e la responsabilità delle autorità di controllo di garantire il rispetto di tale regolamento. Qualora siano titolari del trattamento o responsabili del trattamento dei dati ai sensi del regolamento (UE) 2016/679, i fornitori di servizi di condivisione dei dati sono vincolati dalle norme di tale regolamento. Il presente regolamento dovrebbe inoltre lasciare impregiudicata l'applicazione del diritto della concorrenza.
(29)È altresì opportuno che i fornitori di servizi di condivisione dei dati adottino misure per garantire il rispetto del diritto della concorrenza. La condivisione dei dati può generare vari tipi di incrementi di efficienza, ma può del pari comportare restrizioni della concorrenza, in particolare ove comprenda la condivisione di informazioni sensibili sotto il profilo della concorrenza. Ciò vale in particolare nelle situazioni in cui la condivisione dei dati consente alle imprese di venire a conoscenza delle strategie di mercato dei loro concorrenti effettivi o potenziali. Le informazioni sensibili sotto il profilo della concorrenza comprendono abitualmente le informazioni su prezzi futuri, costi di produzione, quantità, fatturato, vendite o capacità.
(30)È opportuno istituire una procedura di notifica per i servizi di condivisione dei dati al fine di garantire una governance dei dati all'interno dell'Unione basata su uno scambio di dati affidabile. I vantaggi di un ambiente affidabile sarebbero conseguiti al meglio mediante l'imposizione di una serie di requisiti per la fornitura di servizi di condivisione dei dati, senza che sia tuttavia necessaria l'adozione di decisioni o di atti amministrativi espliciti da parte dell'autorità competente per la fornitura di tali servizi.
(31)Al fine di sostenere una fornitura transfrontaliera efficace dei servizi, è opportuno richiedere al fornitore di servizi di condivisione dei dati l'invio di una notifica solo all'autorità competente designata dello Stato membro in cui è situato il suo stabilimento principale o in cui si trova il suo rappresentante legale. Una tale notifica dovrebbe consistere in una semplice dichiarazione dell'intenzione di fornire tali servizi e dovrebbe essere completata solo dalle informazioni di cui al presente regolamento.
(32)Lo stabilimento principale di un fornitore di servizi di condivisione dei dati nell'Unione dovrebbe essere nello Stato membro ove ha sede l'amministrazione centrale del fornitore nell'Unione. Lo stabilimento principale di un fornitore di servizi di condivisione dei dati nell'Unione dovrebbe essere determinato in base a criteri oggettivi e implicare l'effettivo e reale svolgimento di attività di gestione.
(33)Le autorità competenti designate per monitorare la conformità dei servizi di condivisione dei dati ai requisiti del presente regolamento dovrebbero essere scelte in base alle loro capacità e competenze in materia di condivisione orizzontale o settoriale dei dati e dovrebbero essere indipendenti, trasparenti e imparziali nello svolgimento dei loro compiti. Ciascuno Stato membro notifica alla Commissione l'identità delle autorità competenti designate.
(34)Il quadro di notifica definito nel presente regolamento dovrebbe lasciare impregiudicate le norme supplementari specifiche in materia di fornitura di servizi di condivisione dei dati applicabili mediante una legislazione settoriale.
(35)L'utilizzo per finalità di interesse generale di dati messi a disposizione su base volontaria dagli interessati, sulla base del consenso di questi ultimi, o di dati non personali messi a disposizione da persone giuridiche presenta grandi potenzialità. Le finalità di interesse generale comprendono l'assistenza sanitaria, la lotta ai cambiamenti climatici, il miglioramento della mobilità, l'agevolazione dell'elaborazione di statistiche ufficiali o il miglioramento della fornitura dei servizi pubblici. Anche il sostegno alla ricerca scientifica, comprese le attività di sviluppo tecnologico e dimostrazione, ricerca fondamentale, ricerca applicata e ricerca finanziata da privati, dovrebbe essere considerato una finalità di interesse generale. Il presente regolamento mira a contribuire allo sviluppo di pool di dati messi a disposizione sulla base dell'altruismo dei dati, che abbiano dimensioni sufficienti da consentire l'analisi dei dati e l'apprendimento automatico, anche a livello transfrontaliero nell'Unione.
(36)Le entità giuridiche che intendono sostenere finalità di interesse generale mettendo a disposizione quantità considerevoli di dati pertinenti sulla base dell'altruismo dei dati e che soddisfano determinati requisiti dovrebbero potersi registrare in qualità di "Organizzazione per l'altruismo dei dati riconosciuta nell'Unione". Ciò potrebbe portare alla creazione di repository di dati. Poiché la registrazione in uno Stato membro sarebbe valida in tutta l'Unione, ciò agevolerebbe l'utilizzo transfrontaliero dei dati all'interno dell'Unione e lo sviluppo di pool di dati riguardanti più Stati membri. A tal proposito gli interessati acconsentirebbero al trattamento di dati con finalità specifiche, ma potrebbero esprimere il proprio consenso anche al trattamento dei dati in taluni settori di ricerca o parti di progetti di ricerca, poiché spesso non è possibile individuare pienamente la finalità del trattamento dei dati personali a fini di ricerca scientifica nel momento della raccolta dei dati. Le persone giuridiche potrebbero concedere l'autorizzazione al trattamento dei loro dati non personali per una serie di finalità non definite al momento di concedere l'autorizzazione. La conformità volontaria di tali entità registrate a una serie di requisiti dovrebbe infondere fiducia quanto al fatto che i dati messi a disposizione a fini altruistici servano una finalità di interesse generale. A tale fiducia dovrebbe in particolare contribuire un luogo di stabilimento all'interno dell'Unione, nonché il requisito che le entità registrate non abbiano scopo di lucro, gli obblighi di trasparenza e le tutele specifiche volte a proteggere i diritti e gli interessi delle imprese e degli interessati. Ulteriori tutele dovrebbero comprendere la possibilità di trattare i dati pertinenti in un ambiente di trattamento sicuro gestito dall'entità registrata, meccanismi di sorveglianza quali consigli o comitati etici per garantire che il titolare del trattamento mantenga standard elevati di etica scientifica, strumenti tecnici efficaci per revocare o modificare il consenso in qualsiasi momento, sulla base degli obblighi di informazione dei responsabili del trattamento dei dati a norma del regolamento (UE) 2016/679, nonché strumenti che consentano agli interessati di essere informati circa l'utilizzo dei dati che hanno messo a disposizione.
(37)Il presente regolamento non pregiudica l'istituzione, l'organizzazione e il funzionamento di entità che intendono impegnarsi nell'ambito dell'altruismo dei dati a norma del diritto nazionale. Esso è basato sui requisiti imposti del diritto nazionale per operare in modo legale in uno Stato membro in qualità di organizzazione senza scopo di lucro. Le entità che soddisfano i requisiti del presente regolamento dovrebbero essere in grado di utilizzare il titolo di "Organizzazione per l'altruismo dei dati riconosciuta nell'Unione".
(38)Le organizzazioni per l'altruismo dei dati riconosciute nell'Unione dovrebbero poter raccogliere dati pertinenti da persone fisiche e giuridiche o trattare dati raccolti da terzi. L'altruismo dei dati sarebbe basato in genere sul consenso degli interessati ai sensi dell'articolo 6, paragrafo 1, lettera a), e dell'articolo 9, paragrafo 2, lettera a), e nel rispetto dei requisiti per il consenso lecito conformemente all'articolo 7 del regolamento (UE) 2016/679. A norma del regolamento (UE) 2016/679, le finalità di ricerca scientifica possono essere sostenute dal consenso a determinati settori di ricerca scientifica laddove vi sia rispetto delle norme deontologiche riconosciute per la ricerca scientifica o soltanto a determinati settori di ricerca o parti di progetti di ricerca. L'articolo 5, paragrafo 1, lettera b), del regolamento (UE) 2016/679 specifica che un ulteriore trattamento a fini di ricerca scientifica o storica o a fini statistici non è, conformemente all'articolo 89, paragrafo 1, del regolamento (UE) 2016/679, considerato incompatibile con le finalità iniziali.
(39)Per conferire ulteriore certezza giuridica alla concessione e alla revoca del consenso, in particolare nel contesto dell'utilizzo a fini statistici e di ricerca scientifica di dati messi a disposizione su base altruistica, è opportuno elaborare e utilizzare nel contesto della condivisione di dati su base altruistica un modulo europeo di consenso all'altruismo dei dati. Tale modulo dovrebbe contribuire a garantire agli interessati una maggiore trasparenza in merito all'accesso ai loro dati e all'utilizzo degli stessi in conformità al consenso da loro espresso nonché nel pieno rispetto delle norme in materia di protezione dei dati. Esso potrebbe altresì essere utilizzato per ottimizzare le attività di altruismo dei dati delle imprese e fornire un meccanismo che consenta a queste ultime di revocare la loro autorizzazione all'utilizzo dei dati. È opportuno prevedere la possibilità di introdurre adeguamenti settoriali del modulo europeo di consenso all'altruismo dei dati affinché sia possibile tenere conto delle specificità dei singoli settori, anche in termini di protezione dei dati.
(40)Al fine di attuare con successo il quadro di governance dei dati, è opportuno istituire un comitato europeo per l'innovazione in materia di dati, sotto forma di un gruppo di esperti. Il comitato dovrebbe essere costituito da rappresentanti degli Stati membri, della Commissione e degli spazi di dati pertinenti, nonché di settori specifici (quali sanità, agricoltura, trasporti e statistica). È opportuno invitare il comitato europeo per la protezione dei dati a nominare un rappresentante in seno al comitato europeo per l'innovazione in materia di dati.
(41)Il comitato dovrebbe assistere la Commissione nel coordinare le pratiche e le politiche nazionali sui temi contemplati dal presente regolamento e nel sostenere l'utilizzo intersettoriale dei dati aderendo ai principi del quadro europeo di interoperabilità e utilizzando norme e specifiche (quali i Building Blocks 44 del meccanismo per collegare l'Europa e i Core Vocabularies 45 ), fatte salve le attività di normazione in corso in settori o ambiti specifici. Le attività di normazione tecnica possono comprendere l'individuazione di priorità per l'elaborazione di norme e l'istituzione e il mantenimento di una serie di norme tecniche e giuridiche per la trasmissione di dati tra due ambienti di trattamento che renda possibile l'organizzazione degli spazi di dati senza far ricorso ad intermediari. È opportuno che il comitato collabori con organismi, reti o gruppi di esperti settoriali o con altre organizzazioni intersettoriali che si occupano del riutilizzo dei dati. Per quanto concerne l'altruismo dei dati, il comitato dovrebbe assistere la Commissione nell'elaborazione del modulo di consenso, in consultazione con il comitato europeo per la protezione dei dati
(42)Al fine di garantire condizioni uniformi di esecuzione del presente regolamento, dovrebbero essere attribuite alla Commissione competenze di esecuzione per l'elaborazione del modulo europeo di consenso all'altruismo dei dati. È opportuno che tali competenze siano esercitate conformemente al regolamento (UE) n. 182/2011 del Parlamento europeo e del Consiglio 46 .
(43)Al fine di tener conto della natura specifica di talune categorie di dati, è opportuno delegare alla Commissione il potere di adottare atti conformemente all'articolo 290 TFUE per stabilire, in specifici atti dell'Unione adottati mediante procedura legislativa, condizioni speciali applicabili ai trasferimenti a paesi terzi di alcune categorie di dati non personali ritenuti altamente sensibili. È di particolare importanza che durante i lavori preparatori la Commissione svolga adeguate consultazioni, anche a livello di esperti, nel rispetto dei principi stabiliti nell'accordo interistituzionale "Legiferare meglio" del 13 aprile 2016. In particolare, al fine di garantire la parità di partecipazione alla preparazione degli atti delegati, il Parlamento europeo e il Consiglio ricevono tutti i documenti contemporaneamente agli esperti degli Stati membri, e i loro esperti hanno sistematicamente accesso alle riunioni dei gruppi di esperti della Commissione incaricati della preparazione di tali atti delegati.
(44)Il presente regolamento non dovrebbe incidere sull'applicazione delle norme in materia di concorrenza, in particolare gli articoli 101 e 102 del trattato sul funzionamento dell'Unione europea ("TFUE"). Le misure previste dal presente regolamento non dovrebbero essere utilizzate per limitare la concorrenza in maniera contraria al trattato sul funzionamento dell'Unione europea. Tale aspetto riguarda in particolare le norme sullo scambio di informazioni sensibili dal punto di vista della concorrenza attraverso servizi di condivisione dei dati tra concorrenti effettivi o potenziali.
(45)Il garante europeo della protezione dei dati e il comitato europeo per la protezione dei dati sono stati consultati a norma dell'articolo 42 del regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio 47 e hanno emesso un parere il […].
(46)Il presente regolamento rispetta i diritti fondamentali e osserva i principi riconosciuti in particolare dalla Carta, compresi il diritto alla privacy, la protezione dei dati personali, la libertà di impresa, il diritto di proprietà e il diritto all'inserimento delle persone con disabilità,
HANNO ADOTTATO IL PRESENTE REGOLAMENTO:
Capo i
Disposizioni generali
Articolo 1
Oggetto e ambito di applicazione
1)Il presente regolamento stabilisce:
a) le condizioni per il riutilizzo, all'interno dell'Unione, di determinate categorie di dati detenuti da enti pubblici;
b) un quadro di notifica e vigilanza per la fornitura di servizi di condivisione dei dati;
c) un quadro per la registrazione volontaria delle entità che raccolgono e trattano i dati messi a disposizione a fini altruistici.
2)Il presente regolamento non pregiudica le disposizioni specifiche contenute in altri atti giuridici dell'Unione in materia di accesso a determinate categorie di dati o di riutilizzo degli stessi, o i requisiti relativi al trattamento dei dati personali o non personali. Qualora un atto giuridico settoriale dell'Unione imponga agli enti pubblici, ai fornitori di servizi di condivisione dei dati o alle entità registrate che forniscono servizi di altruismo dei dati di rispettare specifici requisiti tecnici, amministrativi o organizzativi aggiuntivi, anche attraverso un regime di autorizzazione o certificazione, si applicano anche le pertinenti disposizioni di tale atto giuridico settoriale dell'Unione.
Articolo 2
Definizioni
Ai fini del presente regolamento si applicano le seguenti definizioni:
1)"dati": qualsiasi rappresentazione digitale di atti, fatti o informazioni e qualsiasi raccolta di tali atti, fatti o informazioni, anche sotto forma di registrazione sonora, visiva o audiovisiva;
2)"riutilizzo": l'utilizzo di dati in possesso di enti pubblici da parte di persone fisiche o giuridiche a fini commerciali o non commerciali diversi dallo scopo iniziale nell'ambito dei compiti di servizio pubblico per i quali i dati sono stati prodotti, fatta eccezione per lo scambio di dati tra enti pubblici esclusivamente in adempimento dei loro compiti di servizio pubblico;
3)"dati non personali": i dati diversi dai dati personali di cui all'articolo 4, punto 1, del regolamento (UE) 2016/679;
4)"metadati": i dati raccolti su qualsiasi attività di una persona fisica o giuridica ai fini della fornitura di un servizio di condivisione di dati, compresi la data, l'ora e i dati di geolocalizzazione, la durata dell'attività e i collegamenti con altre persone fisiche o giuridiche stabiliti dalla persona che utilizza il servizio;
5)"titolare dei dati": la persona giuridica o l'interessato che, conformemente al diritto dell'Unione o nazionale applicabile, ha il diritto di concedere l'accesso a determinati dati personali o non personali sotto il proprio controllo o di condividerli;
6)"utente dei dati": una persona fisica o giuridica che ha accesso legittimo a determinati dati personali o non personali ed è autorizzata a utilizzare tali dati a fini commerciali o non commerciali;
7)"condivisione dei dati": la fornitura di dati da un titolare dei dati a un utente dei dati ai fini dell'utilizzo congiunto o individuale dei dati condivisi, sulla base di accordi volontari, direttamente o tramite un intermediario;
8)"accesso": il trattamento, da parte di un utente dei dati, dei dati forniti da un titolare dei dati, conformemente a specifici requisiti tecnici, giuridici o organizzativi, e che non implica necessariamente la trasmissione o lo scaricamento di tali dati;
9)"stabilimento principale" di un'entità giuridica: il luogo in cui è stabilita la sua amministrazione centrale nell'Unione;
10)"altruismo dei dati": il consenso accordato dagli interessati al trattamento dei dati personali che li riguardano, o le autorizzazioni di altri titolari dei dati volte a consentire l'uso dei loro dati non personali senza la richiesta di un compenso, per finalità di interesse generale, quali la ricerca scientifica o il miglioramento dei servizi pubblici;
11)"ente pubblico": le autorità statali, regionali o locali, gli organismi di diritto pubblico o le associazioni formate da una o più di tali autorità oppure da uno o più di tali organismi di diritto pubblico;
12)"organismi di diritto pubblico": gli organismi che hanno le seguenti caratteristiche:
a)sono istituiti per soddisfare specificatamente bisogni d'interesse generale e non hanno carattere industriale o commerciale;
b)sono dotati di personalità giuridica;
c)le loro attività sono finanziate in modo maggioritario dallo Stato, da autorità regionali o locali o da altri organismi di diritto pubblico, o la loro gestione è soggetta alla supervisione da parte di tali autorità o organismi, oppure sono dotati di un organo di amministrazione, di direzione o di vigilanza in cui più della metà dei membri è designata dallo Stato, da autorità regionali o locali o da altri organismi di diritto pubblico;
13)"impresa pubblica": qualsiasi impresa su cui gli enti pubblici possono esercitare, direttamente o indirettamente, un'influenza dominante perché ne sono proprietari, vi hanno una partecipazione finanziaria, o in virtù di norme che disciplinano l'impresa in questione; ai fini della presente definizione si presume un'influenza dominante in uno qualsiasi dei seguenti casi in cui tali enti, direttamente o indirettamente:
a)detengono la maggioranza del capitale sottoscritto dall'impresa;
b)controllano la maggioranza dei voti cui danno diritto le azioni emesse dall'impresa;
c)possono designare più della metà dei membri dell'organo di amministrazione, di direzione o di vigilanza dell'impresa;
14)"ambiente di trattamento sicuro": l'ambiente fisico o virtuale e i mezzi organizzativi per offrire l'opportunità di riutilizzare i dati in modo da consentire all'operatore dell'ambiente di trattamento sicuro di determinare e controllare tutte le azioni di trattamento dei dati, compresi la visualizzazione, la conservazione, lo scaricamento, l'esportazione dei dati e il calcolo dei dati derivati mediante algoritmi computazionali;
15)"rappresentante": qualsiasi persona fisica o giuridica stabilita nell'Unione esplicitamente designata ad agire per conto di un fornitore di servizi di condivisione dei dati non stabilito nell'Unione o di un'entità non stabilita nell'Unione che raccoglie dati per obiettivi di interesse generale messi a disposizione da persone fisiche o giuridiche sulla base dell'altruismo dei dati, che può essere interpellata da un'autorità nazionale competente al posto del fornitore di servizi di condivisione di dati o dell'entità in relazione agli obblighi di tale fornitore di servizi di condivisione dei dati o di tale entità stabiliti dal presente regolamento.
Capo II
Riutilizzo di determinate categorie di dati protetti detenuti da enti pubblici
Articolo 3
Categorie di dati
1)Il presente capo si applica ai dati detenuti da enti pubblici, che sono protetti per motivi di:
a)riservatezza commerciale;
b)riservatezza statistica;
c)protezione dei diritti di proprietà intellettuale di terzi;
d)protezione dei dati personali;
2)Il presente capo non si applica:
a)ai dati detenuti da imprese pubbliche:
b)ai dati detenuti dalle emittenti di servizio pubblico e dalle società da esse controllate e da altri organismi o relative società controllate per l'adempimento di un compito di radiodiffusione di servizio pubblico;
c)ai dati detenuti da enti culturali e di istruzione;
d)ai dati protetti per motivi di sicurezza nazionale, difesa o pubblica sicurezza;
e)ai dati la cui fornitura è un'attività che esula dall'ambito dei compiti di servizio pubblico degli enti pubblici in questione, quali definiti dal diritto o da altre norme vincolanti nello Stato membro interessato o, in mancanza di tali norme, quali definiti in conformità alle comuni prassi amministrative in tale Stato membro, a condizione che l'ambito di detti compiti sia trasparente e soggetta a revisione;
3)Le disposizioni del presente capo non creano, per gli enti pubblici, alcun obbligo di consentire il riutilizzo dei dati né esentano gli enti pubblici dai loro obblighi di riservatezza. Il presente capo lascia impregiudicati il diritto dell'Unione e nazionale o gli accordi internazionali di cui l'Unione o gli Stati membri sono parti in relazione alla protezione delle categorie di dati di cui al paragrafo 1. Il presente capo lascia impregiudicati il diritto dell'Unione e nazionale in materia di accesso ai documenti e gli obblighi degli enti pubblici a norma del diritto nazionale e dell'Unione di consentire il riutilizzo dei dati.
Articolo 4
Divieto di accordi di esclusiva
1)Sono vietati gli accordi o altre pratiche relativi al riutilizzo di dati detenuti da enti pubblici e comprendenti le categorie di dati di cui all'articolo 3, paragrafo 1, che concedono diritti esclusivi o che hanno per oggetto o per effetto di concedere tali diritti esclusivi o di limitare la disponibilità di dati per il riutilizzo da parte di entità diverse dalle parti di tali accordi o altre pratiche.
2)In deroga al paragrafo 1, può essere concesso un diritto esclusivo di riutilizzo dei dati di cui al paragrafo 1 nella misura necessaria alla fornitura di un servizio o di un prodotto di interesse generale.
3)Tale diritto esclusivo è accordato nel contesto di un pertinente contratto di servizio o di concessione nel rispetto delle norme applicabili dell'Unione e nazionali in materia di appalti pubblici e di aggiudicazione delle concessioni o, nel caso di un contratto di un valore al quale non si applicano né le norme nazionali né quelle dell'Unione in materia di appalti pubblici e di aggiudicazione delle concessioni, nel rispetto dei principi di trasparenza, parità di trattamento e non discriminazione in base alla nazionalità.
4)In tutti i casi non contemplati dal paragrafo 3 e in cui l'obiettivo di interesse generale non può essere conseguito senza concedere un diritto esclusivo, si applicano i principi di trasparenza, parità di trattamento e non discriminazione in base alla nazionalità.
5)Il periodo di esclusiva del diritto di riutilizzo dei dati non supera i tre anni. Ove si concluda un contratto, la durata del contratto aggiudicato è allineata al periodo di esclusiva.
6)L'attribuzione di un diritto esclusivo a norma dei paragrafi da 2 a 5, comprese le ragioni per le quali è necessario concedere tale diritto, è trasparente ed è resa pubblica online, indipendentemente dall'eventuale pubblicazione dell'aggiudicazione di un appalto pubblico e di un contratto di concessione.
7)Agli accordi o alle altre pratiche che rientrano nell'ambito di applicazione del divieto di cui al paragrafo 1, che non soddisfano le condizioni di cui al paragrafo 2, e che sono stati conclusi prima della data di entrata in vigore del presente regolamento è posto termine alla scadenza del contratto e comunque entro tre anni dalla data di entrata in vigore del presente regolamento.
Articolo 5
Condizioni per il riutilizzo
1)Gli enti pubblici che, a norma del diritto nazionale, hanno facoltà di concedere o negare l'accesso per il riutilizzo di una o più delle categorie di dati di cui all'articolo 3, paragrafo 1, rendono pubbliche le condizioni per consentire tale riutilizzo. In tale compito possono essere assistiti dagli organismi competenti di cui all'articolo 7, paragrafo 1.
2)Le condizioni per il riutilizzo sono non discriminatorie, proporzionate e oggettivamente giustificate in relazione alle categorie di dati, alle finalità del riutilizzo e alla natura dei dati per i quali è consentito il riutilizzo. Tali condizioni non sono utilizzate per limitare la concorrenza.
3)Gli enti pubblici possono imporre l'obbligo di riutilizzare solo dati pretrattati laddove tale pretrattamento miri ad anonimizzare o pseudonimizzare i dati personali o a cancellare informazioni commerciali riservate, compresi i segreti commerciali.
4)Gli enti pubblici possono imporre obblighi:
a)di accesso ai dati e riutilizzo degli stessi all'interno di un ambiente di trattamento sicuro, fornito e controllato dal settore pubblico;
b)di accesso ai dati e riutilizzo degli stessi all'interno dei locali fisici in cui si trova l'ambiente di trattamento sicuro, se l'accesso remoto non può essere consentito senza compromettere i diritti e gli interessi di terzi.
5)Gli enti pubblici impongono condizioni che preservino l'integrità del funzionamento dei sistemi tecnici dell'ambiente di trattamento sicuro utilizzato. L'ente pubblico deve poter verificare i risultati del trattamento dei dati effettuato dal riutilizzatore e riservarsi il diritto di vietare l'uso dei risultati che contengono informazioni che compromettono i diritti e gli interessi di terzi.
6)Qualora il riutilizzo dei dati non possa essere concesso in conformità agli obblighi di cui ai paragrafi da 3 a 5 e non vi sia altra base giuridica per la trasmissione dei dati a norma del regolamento (UE) 2016/679, l'ente pubblico aiuta i riutilizzatori a richiedere il consenso degli interessati e/o l'autorizzazione delle entità giuridiche i cui diritti e interessi possono essere interessati da tale riutilizzo, ove ciò sia fattibile senza costi sproporzionati per il settore pubblico. In tale compito possono essere assistiti dagli organismi competenti di cui all'articolo 7, paragrafo 1.
7)Il riutilizzo dei dati è consentito solo nel rispetto dei diritti di proprietà intellettuale. Il diritto del costitutore di una banca di dati di cui all'articolo 7, paragrafo 1, della direttiva 96/9/CE non è esercitato dagli enti pubblici al fine di impedire il riutilizzo dei dati o di limitarlo oltre i limiti stabiliti dal presente regolamento.
8)Quando i dati richiesti sono considerati riservati, conformemente al diritto dell'Unione o nazionale in materia di riservatezza commerciale, gli enti pubblici provvedono affinché le informazioni riservate non siano divulgate in conseguenza del riutilizzo.
9)La Commissione può adottare atti di esecuzione in cui si dichiara che le disposizioni legislative, di vigilanza e in materia di controllo del rispetto della normativa di un paese terzo:
a)garantiscono una protezione della proprietà intellettuale e dei segreti commerciali sostanzialmente equivalente a quella garantita dal diritto dell'Unione;
b)sono applicate e fatte rispettare in modo efficace; e
c)consentono un ricorso giurisdizionale effettivo.
Tali atti di esecuzione sono adottati secondo la procedura consultiva di cui all'articolo 29, paragrafo 2.
10)Gli enti pubblici trasmettono dati riservati o dati protetti da diritti di proprietà intellettuale a un riutilizzatore che intende trasferire i dati a un paese terzo diverso da un paese designato in conformità al paragrafo 9 solo se il riutilizzatore si impegna:
a)a rispettare gli obblighi imposti in conformità ai paragrafi da 7 a 8 anche dopo il trasferimento dei dati al paese terzo; e
b)ad accettare la competenza degli organi giurisdizionali dello Stato membro dell'ente pubblico in merito a qualsiasi controversia relativa al rispetto dell'obbligo di cui alla lettera a).
11)Qualora specifici atti dell'Unione adottati in conformità a una procedura legislativa stabiliscano che determinate categorie di dati non personali detenuti da enti pubblici sono considerate altamente sensibili ai fini del presente articolo, alla Commissione è conferito il potere di adottare atti delegati conformemente all'articolo 28 al fine di integrare il presente regolamento stabilendo condizioni particolari applicabili ai trasferimenti a paesi terzi. Le condizioni per il trasferimento a paesi terzi si basano sulla natura delle categorie di dati individuate nell'atto dell'Unione e sui motivi per cui sono considerate altamente sensibili, sono non discriminatorie e limitate a quanto necessario per conseguire gli obiettivi di politica pubblica individuati nell'atto legislativo dell'Unione, quali la sicurezza e la salute pubblica, e si basano inoltre sui rischi, per gli interessati, di reidentificazione dei dati anonimizzati, conformemente agli obblighi internazionali dell'Unione. Esse possono includere termini applicabili al trasferimento o alle modalità tecniche ad esso relative, limitazioni per quanto riguarda il riutilizzo di dati in paesi terzi o categorie di persone autorizzate a trasferire tali dati a paesi terzi o, in casi eccezionali, restrizioni per quanto riguarda i trasferimenti a paesi terzi.
12)La persona fisica o giuridica cui è stato concesso il diritto di riutilizzare dati non personali può trasferire i dati solo ai paesi terzi per i quali sono soddisfatti i requisiti di cui ai paragrafi da 9 a 11.
13)Qualora il riutilizzatore intenda trasferire dati non personali a un paese terzo, l'ente pubblico informa il titolare dei dati in merito al trasferimento dei dati a tale paese terzo.
Articolo 6
Tariffe
1)Gli enti pubblici che consentono il riutilizzo delle categorie di dati di cui all'articolo 3, paragrafo 1, possono imporre tariffe per consentire il riutilizzo di tali dati.
2)Le tariffe sono non discriminatorie, proporzionate e oggettivamente giustificate e non limitano la concorrenza.
3)Gli enti pubblici provvedono affinché le tariffe possano essere pagate online mediante servizi di pagamento transfrontalieri ampiamente diffusi, senza discriminazioni basate sul luogo di stabilimento del fornitore del servizio di pagamento, sul luogo di emissione dello strumento di pagamento o sull'ubicazione del conto di pagamento all'interno dell'Unione.
4)Qualora applichino tariffe, gli enti pubblici adottano misure per incentivare il riutilizzo delle categorie di dati di cui all'articolo 3, paragrafo 1, a fini non commerciali e da parte delle piccole e medie imprese in linea con le norme sugli aiuti di Stato.
5)L'ammontare delle tariffe è derivato dai costi relativi al trattamento delle richieste di riutilizzo delle categorie di dati di cui all'articolo 3, paragrafo 1. La metodologia di calcolo delle tariffe è pubblicata in anticipo.
6)L'ente pubblico pubblica una descrizione delle principali categorie di costi e delle regole utilizzate per la ripartizione dei costi.
Articolo 7
Organismi competenti
1)Gli Stati membri designano uno o più organismi competenti, che possono essere settoriali, a sostegno degli enti pubblici che concedono l'accesso al riutilizzo delle categorie di dati di cui all'articolo 3, paragrafo 1, nell'adempimento di tale compito.
2)Il sostegno di cui al paragrafo 1 comprende, ove necessario:
a)fornire assistenza tecnica mettendo a disposizione un ambiente di trattamento sicuro per la fornitura dell'accesso ai fini del riutilizzo dei dati;
b)fornire assistenza tecnica nell'applicazione di tecniche sperimentate che garantiscano il trattamento dei dati in modo da tutelare la privacy delle informazioni contenute nei dati per i quali è consentito il riutilizzo, comprese le tecniche di pseudonimizzazione, anonimizzazione, generalizzazione, soppressione e randomizzazione dei dati personali;
c)fornire assistenza agli enti pubblici, se pertinente, nell'ottenere il consenso o l'autorizzazione dei riutilizzatori al riutilizzo a fini altruistici e di altro tipo, in linea con le decisioni specifiche dei titolari dei dati, anche in merito alla giurisdizione o alle giurisdizioni in cui si intende effettuare il trattamento dei dati;
d)fornire assistenza agli enti pubblici in merito all'adeguatezza degli impegni assunti da un riutilizzatore, a norma dell'articolo 5, paragrafo 10.
3)Gli organismi competenti possono inoltre essere incaricati di concedere l'accesso per il riutilizzo delle categorie di dati di cui all'articolo 3, paragrafo 1, a norma del diritto dell'Unione o nazionale che prevede la concessione di tale accesso. Nell'esercizio della loro funzione di concessione o rifiuto dell'accesso per il riutilizzo, a tali organismi competenti si applicano gli articoli 4, 5 e 6 e l'articolo 8, paragrafo 3.
4)L'organismo o gli organismi competenti dispongono di capacità e competenze giuridiche e tecniche adeguate per poter rispettare il pertinente diritto dell'Unione o nazionale in materia di regimi di accesso per le categorie di dati di cui all'articolo 3, paragrafo 1.
5)Gli Stati membri comunicano alla Commissione l'identità degli organismi competenti designati a norma del paragrafo 1 entro il [data di applicazione del presente regolamento]. Essi comunicano inoltre alla Commissione ogni successiva modifica dell'identità di tali organismi.
Articolo 8
Sportello unico
1)Gli Stati membri provvedono affinché tutte le informazioni pertinenti relative all'applicazione degli articoli 5 e 6 siano disponibili attraverso uno sportello unico.
2)Lo sportello unico riceve le richieste di riutilizzo delle categorie di dati di cui all'articolo 3, paragrafo 1, e le trasmette agli enti pubblici competenti o, se pertinente, agli organismi competenti di cui all'articolo 7, paragrafo 1. Lo sportello unico mette a disposizione per via elettronica un registro delle risorse di dati disponibili contenente informazioni pertinenti che descrivono la natura dei dati disponibili.
3)Le richieste di riutilizzo delle categorie di dati di cui all'articolo 3, paragrafo 1, sono accolte o rifiutate dagli enti pubblici competenti o dagli organismi competenti di cui all'articolo 7, paragrafo 1, entro un termine ragionevole e in ogni caso entro due mesi dalla data della richiesta.
4)Qualsiasi persona fisica o giuridica interessata dalla decisione di un ente pubblico o di un organismo competente, a seconda dei casi, ha diritto a un ricorso giurisdizionale effettivo contro tale decisione dinanzi agli organi giurisdizionali dello Stato membro in cui è situato l'organismo in questione.
Capo iii
Requisiti applicabili ai servizi di condivisione dei dati
Articolo 9
Fornitori di servizi di condivisione dei dati
1)La fornitura dei seguenti servizi di condivisione dei dati è soggetta a una procedura di notifica:
a)servizi di intermediazione tra le persone giuridiche titolari dei dati e i potenziali utenti dei dati, compresa la messa a disposizione di mezzi tecnici o di altro tipo per consentire tali servizi; tali servizi possono includere scambi di dati bilaterali o multilaterali o la creazione di piattaforme o banche dati che consentono lo scambio o lo sfruttamento congiunto dei dati, nonché l'istituzione di un'infrastruttura specifica per l'interconnessione di titolari dei dati e utenti dei dati;
b)servizi di intermediazione tra interessati che intendono mettere a disposizione i propri dati personali e potenziali utenti dei dati, compresa la messa a disposizione di mezzi tecnici o di altro tipo per consentire tali servizi, nell'esercizio dei diritti di cui al regolamento (UE) 2016/679;
c)servizi di cooperative di dati, vale a dire servizi che aiutano interessati o imprese individuali, microimprese o piccole e medie imprese, che sono membri della cooperativa o che conferiscono alla cooperativa il potere di negoziare i termini e le condizioni per il trattamento dei dati prima di dare il loro consenso, a compiere scelte informate prima di acconsentire al trattamento dei dati, e che prevedono meccanismi di scambio di opinioni sulle finalità e sulle condizioni del trattamento dei dati che rappresenterebbero al meglio gli interessi degli interessati o delle persone giuridiche.
2)Il presente capo non pregiudica l'applicazione di altre normative dell'Unione e nazionali ai fornitori di servizi di condivisione dei dati, compresi i poteri delle autorità di vigilanza di garantire il rispetto del diritto applicabile, in particolare per quanto riguarda la protezione dei dati personali e il diritto della concorrenza.
Articolo 10
Notifica dei fornitori di servizi di condivisione dei dati
1)I fornitori di servizi di condivisione dei dati che intendono fornire i servizi di cui all'articolo 9, paragrafo 1, presentano una notifica all'autorità competente di cui all'articolo 12.
2)Ai fini del presente regolamento, un fornitore di servizi di condivisione dei dati con stabilimenti in più di uno Stato membro è considerato soggetto alla giurisdizione dello Stato membro in cui ha lo stabilimento principale.
3)Un fornitore di servizi di condivisione dei dati che non è stabilito nell'Unione, ma che offre all'interno dell'Unione i servizi di cui all'articolo 9, paragrafo 1, nomina un rappresentante legale in uno degli Stati membri in cui offre tali servizi. Il fornitore è considerato soggetto alla giurisdizione dello Stato membro in cui è stabilito il suo rappresentante legale.
4)Previa notifica, il fornitore di servizi di condivisione dei dati può avviare l'attività alle condizioni stabilite nel presente capo.
5)La notifica autorizza il fornitore a fornire servizi di condivisione dei dati in tutti gli Stati membri.
6)La notifica contiene le seguenti informazioni:
a)il nome del fornitore di servizi di condivisione dei dati;
b)lo status giuridico, la forma giuridica e il numero di registrazione del fornitore, qualora esso sia registrato nel registro delle imprese o in un altro registro pubblico analogo;
c)l'indirizzo dell'eventuale stabilimento principale del fornitore nell'Unione e, se opportuno, di eventuali succursali secondarie in un altro Stato membro o l'indirizzo del rappresentante legale designato a norma del paragrafo 3;
d)se opportuno, un sito web in cui sono reperibili informazioni sul fornitore e sulle sue attività;
e)le persone di contatto e i recapiti del fornitore;
f)una descrizione del servizio che il fornitore intende fornire;
g)la data prevista di inizio dell'attività;
h)gli Stati membri in cui il fornitore intende fornire i servizi.
7)Su richiesta del fornitore, l'autorità competente rilascia, entro una settimana, una dichiarazione standardizzata in cui conferma che il fornitore ha presentato la notifica di cui al paragrafo 4.
8)L'autorità competente trasmette senza indugio per via elettronica ciascuna notifica alle autorità nazionali competenti degli Stati membri.
9)L'autorità competente informa la Commissione di ogni nuova notifica. La Commissione tiene un registro dei fornitori di servizi di condivisione dei dati.
10)L'autorità competente può imporre tariffe. Tali tariffe sono proporzionate e oggettive e si basano sui costi amministrativi relativi al monitoraggio della conformità e ad altre attività di controllo del mercato da parte delle autorità competenti in relazione alle notifiche dei servizi di condivisione dei dati.
11)Qualora un fornitore di servizi di condivisione dei dati cessi le sue attività, ne dà notifica entro 15 giorni all'autorità competente pertinente individuata a norma dei paragrafi 1, 2 e 3. L'autorità competente trasmette senza indugio per via elettronica tali notifiche alle autorità nazionali competenti degli Stati membri e alla Commissione.
Articolo 11
Condizioni per la fornitura di servizi di condivisione dei dati
La fornitura di servizi di condivisione dei dati di cui all'articolo 9, paragrafo 1, è soggetta alle seguenti condizioni:
1)il fornitore non può utilizzare i dati per i quali fornisce servizi per scopi diversi dalla messa a disposizione di tali dati agli utenti dei dati e i servizi di condivisione dei dati rientrano in un'entità giuridica distinta;
2)i metadati raccolti nel corso della fornitura del servizio di condivisione dei dati possono essere utilizzati solo per lo sviluppo di tale servizio;
3)il fornitore provvede affinché la procedura di accesso al suo servizio sia equa, trasparente e non discriminatoria sia per i titolari dei dati sia per gli utenti dei dati, anche per quanto riguarda i prezzi;
4)il fornitore agevola lo scambio dei dati nel formato in cui li riceve dal titolare dei dati e li converte in formati specifici solo allo scopo di migliorare l'interoperabilità a livello intrasettoriale e intersettoriale, se richiesto dall'utente dei dati, se richiesto dal diritto dell'Unione o per garantire l'armonizzazione con le norme internazionali o europee in materia di dati;
5)il fornitore dispone di procedure per prevenire pratiche fraudolente o abusive in relazione all'accesso ai dati da parte di soggetti che richiedono l'accesso tramite i suoi servizi;
6)il fornitore garantisce una ragionevole continuità nella fornitura dei suoi servizi e, nel caso di servizi che garantiscono la conservazione dei dati, dispone di garanzie sufficienti che consentano ai titolari dei dati e agli utenti dei dati di ottenere l'accesso ai loro dati in caso di insolvenza;
7)il fornitore mette in atto adeguate misure tecniche, giuridiche e organizzative al fine di impedire il trasferimento di dati non personali o l'accesso a questi ultimi nel caso in cui ciò sia illegale a norma del diritto dell'Unione;
8)il fornitore adotta misure per garantire un elevato livello di sicurezza per la conservazione e la trasmissione di dati non personali;
9)il fornitore dispone di procedure atte a garantire il rispetto delle norme dell'Unione e nazionali in materia di concorrenza;
10)il fornitore che offre servizi agli interessati agisce nell'interesse superiore di questi ultimi nel facilitare l'esercizio dei loro diritti, in particolare fornendo loro consulenza sui potenziali utilizzi dei dati e sui termini e le condizioni standard collegati a tali utilizzi;
11)qualora fornisca strumenti per ottenere il consenso degli interessati o le autorizzazioni a trattare i dati messi a disposizione da persone giuridiche, il fornitore specifica la giurisdizione o le giurisdizioni in cui si intende effettuare l'utilizzo dei dati.
Articolo 12
Autorità competenti
1)Ciascuno Stato membro designa nel proprio territorio una o più autorità competenti a svolgere i compiti relativi al quadro di notifica e comunica alla Commissione l'identità di tali autorità designate entro il [data di applicazione del presente regolamento]. Esso comunica inoltre alla Commissione ogni eventuale modifica successiva.
2)Le autorità competenti designate rispettano i requisiti di cui all'articolo 23.
3)Le autorità competenti designate, le autorità per la protezione dei dati, le autorità nazionali garanti della concorrenza, le autorità responsabili della cibersicurezza e altre autorità settoriali pertinenti si scambiano le informazioni necessarie per l'esercizio dei loro compiti in relazione ai fornitori di servizi di condivisione dei dati.
Articolo 13
Monitoraggio della conformità
1)L'autorità competente monitora e controlla la conformità alle disposizioni del presente capo.
2)L'autorità competente ha il potere di chiedere ai fornitori di servizi di condivisione dei dati tutte le informazioni necessarie per verificare la conformità ai requisiti di cui agli articoli 10 e 11. Le richieste di informazioni sono motivate e proporzionate rispetto all'assolvimento di tale compito.
3)Qualora constati che un fornitore di servizi di condivisione dei dati non rispetta uno o più requisiti di cui all'articolo 10 o 11, l'autorità competente ne informa il fornitore e gli offre l'opportunità di esprimere osservazioni entro un termine ragionevole.
4)L'autorità competente ha il potere di imporre la cessazione della violazione di cui al paragrafo 3 immediatamente oppure entro un termine ragionevole e adotta misure adeguate e proporzionate volte ad assicurare la conformità al presente regolamento. A tal proposito le autorità competenti possono, ove opportuno:
a)imporre sanzioni pecuniarie dissuasive, che possono includere sanzioni periodiche con effetto retroattivo;
b)chiedere la cessazione o il rinvio della fornitura del servizio di condivisione dei dati.
5)Le autorità competenti comunicano senza indugio all'entità interessata le misure imposte a norma del paragrafo 4 e i motivi su cui si basano, e stabiliscono un periodo ragionevole entro il quale l'entità deve conformarsi a tali misure.
6)Se lo stabilimento principale o il rappresentante legale di un fornitore di servizi di condivisione dei dati si trova in uno Stato membro, ma tale fornitore presta servizi in altri Stati membri, l'autorità competente dello Stato membro dello stabilimento principale o in cui si trova il rappresentante legale e le autorità competenti di tali altri Stati membri collaborano e si prestano assistenza reciprocamente. Tali assistenza e collaborazione possono comprendere scambi di informazioni tra le autorità competenti interessate e richieste di adottare le misure di cui al presente articolo.
Articolo 14
Deroghe
Il presente capo non si applica alle entità senza scopo di lucro le cui attività consistono unicamente nel cercare di raccogliere, per obiettivi di interesse generale, dati messi a disposizione da persone fisiche o giuridiche sulla base dell'altruismo dei dati.
Capo iv
Altruismo dei dati
Articolo 15
Registro delle organizzazioni per l'altruismo dei dati riconosciute
1)Ciascuna autorità competente designata a norma dell'articolo 20 tiene un registro delle organizzazioni per l'altruismo dei dati riconosciute.
2)La Commissione tiene un registro dell'Unione delle organizzazioni per l'altruismo dei dati riconosciute.
3)Un'entità registrata nel registro conformemente all'articolo 16 può, nelle proprie comunicazioni scritte e orali, definirsi un'"organizzazione per l'altruismo dei dati riconosciuta nell'Unione".
Articolo 16
Requisiti generali per la registrazione
Al fine di essere ammissibile alla registrazione, l'organizzazione per l'altruismo dei dati deve:
a)essere un'entità giuridica costituita per conseguire obiettivi di interesse generale;
b)operare senza scopo di lucro ed essere indipendente da qualsiasi entità che operi a scopo di lucro;
c)svolgere le attività relative all'altruismo dei dati mediante una struttura giuridicamente indipendente, separatamente dalle altre attività che ha intrapreso.
Articolo 17
Registrazione
1)Qualsiasi entità che soddisfi i requisiti di cui all'articolo 16 può richiedere di essere iscritta nel registro delle organizzazioni per l'altruismo dei dati riconosciute di cui all'articolo 15, paragrafo 1.
2)Ai fini del presente regolamento, un'entità che svolge attività basate sull'altruismo dei dati con stabilimenti in più di uno Stato membro si registra nello Stato membro in cui ha lo stabilimento principale.
3)Un'entità che non è stabilita nell'Unione ma soddisfa i requisiti di cui all'articolo 16 nomina un rappresentante legale in uno degli Stati membri in cui intende raccogliere dati sulla base dell'altruismo dei dati. Ai fini della conformità al presente regolamento, tale entità è considerata soggetta alla giurisdizione dello Stato membro in cui è situato il rappresentante legale.
4)La domanda di registrazione contiene le seguenti informazioni:
a)il nome dell'entità;
b)lo status giuridico, la forma giuridica e il numero di registrazione dell'entità, qualora essa sia registrata in un registro pubblico;
c)lo statuto dell'entità, se opportuno;
d)le principali fonti di reddito dell'entità;
e)l'indirizzo dell'eventuale stabilimento principale dell'entità nell'Unione e, se opportuno, di eventuali sedi secondarie in un altro Stato membro o quello del rappresentante legale designato a norma del paragrafo 3;
f)un sito web in cui sono reperibili informazioni sull'entità e sulle sue attività;
g)le persone di contatto dell'entità e i relativi recapiti;
h)le finalità di interesse generale che l'entità intende promuovere raccogliendo i dati;
i)qualsiasi altro documento che dimostri il soddisfacimento dei requisiti di cui all'articolo 16.
5)Qualora l'entità abbia presentato tutte le informazioni necessarie a norma del paragrafo 4 e l'autorità competente ritenga che soddisfi i requisiti di cui all'articolo 16, quest'ultima registra l'entità nel registro delle organizzazioni per l'altruismo dei dati riconosciute entro dodici settimane dalla data di presentazione della domanda. La registrazione è valida in tutti gli Stati membri. Ogni registrazione è comunicata alla Commissione affinché sia inserita nel registro dell'Unione delle organizzazioni per l'altruismo dei dati riconosciute.
6)Le informazioni di cui al paragrafo 4, lettere a), b), f), g) e h) sono pubblicate nel registro nazionale delle organizzazioni per l'altruismo dei dati riconosciute.
7)Le entità iscritte nel registro delle organizzazioni per l'altruismo dei dati riconosciute trasmettono all'autorità competente le eventuali modifiche delle informazioni fornite a norma del paragrafo 4 entro 14 giorni di calendario dalla data della modifica.
Articolo 18
Obblighi di trasparenza
1)Le entità iscritte nel registro nazionale delle organizzazioni per l'altruismo dei dati riconosciute tengono registri completi e accurati per quanto riguarda:
a)tutte le persone fisiche o giuridiche cui è stata data la possibilità di trattare i dati detenuti dall'entità;
b)la data o la durata di tale trattamento;
c)le finalità di tale trattamento, quali dichiarate dalla persona fisica o giuridica cui è stata data la possibilità di effettuarlo;
d)le eventuali tariffe pagate dalle persone fisiche o giuridiche che trattano i dati.
2)Le entità iscritte nel registro delle organizzazioni per l'altruismo dei dati riconosciute elaborano e trasmettono all'autorità nazionale competente una relazione annuale di attività che contiene almeno i seguenti elementi:
a)informazioni sulle attività dell'entità;
b)una descrizione delle modalità con cui, nel corso dell'esercizio finanziario in questione, sono state promosse le finalità di interesse generale per le quali sono stati raccolti i dati;
c)un elenco di tutte le persone fisiche e giuridiche che sono state autorizzate a utilizzare i dati detenuti dall'entità, corredato di una descrizione sintetica delle finalità di interesse generale perseguite da tale utilizzo dei dati e di una descrizione dei mezzi tecnici impiegati a tal fine, compresa una descrizione delle tecniche utilizzate per tutelare la privacy e la protezione dei dati;
d)una sintesi dei risultati degli utilizzi dei dati autorizzati dall'entità, se opportuno;
e)informazioni sulle fonti di entrate dell'entità, in particolare tutte le entrate derivanti dall'autorizzazione all'accesso ai dati, e sulle spese.
Articolo 19
Obblighi specifici di tutela dei diritti e degli interessi delle entità giuridiche e degli interessati per quanto riguarda i loro dati
1)Le entità iscritte nel registro delle organizzazioni per l'altruismo dei dati riconosciute informano i titolari dei dati in merito:
a)alle finalità di interesse generale per le quali consentono il trattamento dei loro dati da parte di un utente dei dati, in modo comprensibile;
b)a eventuali trattamenti effettuati al di fuori dell'Unione.
2)Le entità garantiscono inoltre che i dati non vengano utilizzati per altre finalità diverse da quelle di interesse generale per le quali consentono il trattamento.
3)Qualora un'entità iscritta nel registro delle organizzazioni per l'altruismo dei dati riconosciute fornisca strumenti per ottenere il consenso degli interessati o le autorizzazioni a trattare i dati messi a disposizione da persone giuridiche, essa specifica la giurisdizione o le giurisdizioni in cui i dati sono destinati a essere utilizzati.
Articolo 20
Autorità competenti per la registrazione
1)Ciascuno Stato membro designa una o più autorità competenti responsabili del registro delle organizzazioni per l'altruismo dei dati riconosciute e del monitoraggio del rispetto delle prescrizioni di cui al presente capo. Le autorità competenti designate soddisfano i requisiti di cui all'articolo 23.
2)Ciascuno Stato membro comunica alla Commissione l'identità delle autorità designate.
3)L'autorità competente svolge i propri compiti in collaborazione con l'autorità per la protezione dei dati, qualora tali compiti siano connessi al trattamento dei dati personali, e con i pertinenti organismi settoriali del medesimo Stato membro. Per qualsiasi questione che richieda la valutazione della conformità al regolamento (UE) 2016/679, l'autorità competente chiede in primo luogo all'autorità di controllo competente istituita a norma di tale regolamento di emettere un parere o una decisione e si conforma a tale parere o decisione.
Articolo 21
Monitoraggio della conformità
1)L'autorità competente monitora e controlla la conformità alle condizioni stabilite nel presente capo da parte delle entità iscritte nel registro delle organizzazioni per l'altruismo dei dati riconosciute.
2)L'autorità competente ha il potere di richiedere alle entità inserite nel registro delle organizzazioni per l'altruismo dei dati riconosciute le informazioni necessarie a verificare il rispetto delle disposizioni del presente capo. Le richieste di informazioni sono motivate e proporzionate rispetto all'assolvimento del compito.
3)L'autorità competente che accerti l'inosservanza da parte di un'entità di una o più prescrizioni di cui al presente capo, notifica all'entità quanto accertato e le offre l'opportunità di esprimere osservazioni entro un termine ragionevole.
4)L'autorità competente ha il potere di imporre la cessazione della violazione di cui al paragrafo 3 immediatamente oppure entro un termine ragionevole e adotta misure adeguate e proporzionate volte ad assicurare l'osservanza.
5)Qualora un'entità non rispetti una o più prescrizioni di cui al presente capo anche dopo aver ricevuto la notifica dell'autorità competente conformemente al paragrafo 3, l'entità:
a)perde il diritto di definirsi un'"organizzazione per l'altruismo dei dati riconosciuta nell'Unione" in qualsiasi comunicazione scritta e orale;
b)è rimossa dal registro delle organizzazioni per l'altruismo dei dati riconosciute.
6)Se lo stabilimento principale di un'entità inserita nel registro delle organizzazioni per l'altruismo dei dati riconosciute o il suo rappresentante legale si trova in uno Stato membro ma l'entità è attiva in altri Stati membri, l'autorità competente dello Stato membro in cui si trova lo stabilimento principale o il rappresentante legale e le autorità competenti di tali altri Stati membri collaborano e si prestano assistenza reciprocamente, ove necessario. Tali assistenza e collaborazione possono comprendere scambi di informazioni tra le autorità competenti interessate e richieste di adottare le misure di vigilanza di cui al presente articolo.
Articolo 22
Modulo europeo di consenso all'altruismo dei dati
1)Al fine di facilitare la raccolta dei dati basata sull'altruismo dei dati, la Commissione può adottare atti di esecuzione per l'elaborazione di un modulo europeo di consenso all'altruismo dei dati. Il modulo permette di raccogliere il consenso in un formato uniforme in tutti gli Stati membri. Tali atti di esecuzione sono adottati secondo la procedura consultiva di cui all'articolo 29, paragrafo 2.
2)Il modulo europeo di consenso all'altruismo dei dati utilizza un approccio modulare che ne consente la personalizzazione in funzione di settori specifici e finalità diverse.
3)Qualora siano forniti dati personali, il modulo europeo di consenso all'altruismo dei dati garantisce che gli interessati possano dare e revocare il proprio consenso a una specifica operazione di trattamento dei dati conformemente alle prescrizioni di cui al regolamento (UE) 2016/679.
4)Il modulo è disponibile in un formato stampabile e leggibile da esseri umani nonché in un formato elettronico predisposto per la lettura automatica.
Capo v
Autorità competenti e disposizioni procedurali
Articolo 23
Requisiti relativi alle autorità competenti
1)Le autorità competenti designate a norma degli articoli 12 e 20 sono giuridicamente distinte e funzionalmente indipendenti da qualsiasi fornitore di servizi di condivisione dei dati o entità inserita nel registro delle organizzazioni per l'altruismo dei dati riconosciute.
2)Le autorità competenti svolgono i loro compiti in maniera imparziale, trasparente, coerente, affidabile e tempestiva.
3)L'alta dirigenza e il personale addetto allo svolgimento dei compiti pertinenti dell'autorità competente di cui al presente regolamento non possono essere il progettista, il fabbricante, il fornitore, l'installatore, l'acquirente, il proprietario, l'utente o il responsabile della manutenzione dei servizi che essi valutano, né il mandatario di uno di questi soggetti, né rappresentarli. Ciò non preclude l'uso dei servizi valutati che sono necessari per il funzionamento dell'autorità competente o l'uso di tali servizi per scopi personali.
4)L'alta dirigenza e il personale non intraprendono alcuna attività che possa entrare in conflitto con la loro indipendenza di giudizio o la loro integrità in relazione alle attività di valutazione loro affidate.
5)Le autorità competenti hanno a loro disposizione le risorse finanziarie e umane adeguate per svolgere i compiti loro affidati, comprese le risorse e le conoscenze tecniche necessarie.
6)Su richiesta motivata, le autorità competenti di uno Stato membro forniscono alla Commissione e alle autorità competenti degli altri Stati membri le informazioni necessarie a svolgere i loro compiti a norma del presente regolamento. Qualora un'autorità nazionale competente ritenga che le informazioni richieste siano riservate conformemente alle norme unionali e nazionali in materia di riservatezza commerciale e segreto professionale, la Commissione e le altre autorità competenti interessate garantiscono tale riservatezza.
Articolo 24
Diritto di presentare un reclamo
1)Le persone fisiche e giuridiche hanno il diritto di presentare un reclamo alla pertinente autorità nazionale competente nei confronti di un fornitore di servizi di condivisione dei dati o di un'entità iscritta nel registro delle organizzazioni per l'altruismo dei dati riconosciute.
2)L'autorità a cui à stato presentato il reclamo informa il reclamante dello stato del procedimento e della decisione adottata, nonché del diritto a un ricorso giurisdizionale effettivo di cui all'articolo 25.
Articolo 25
Diritto a un ricorso giurisdizionale effettivo
1)Fatti salvi eventuali ricorsi amministrativi o altri ricorsi extragiudiziali, le persone fisiche e giuridiche interessate hanno diritto a un ricorso giurisdizionale effettivo per quanto riguarda:
a)il mancato intervento relativamente a un reclamo presentato all'autorità competente di cui agli articoli 12 e 20;
b)le decisioni delle autorità competenti di cui agli articoli 13, 17 e 21 adottate nell'ambito della gestione, del controllo e dell'applicazione del regime di notifica per i fornitori di servizi di condivisione dei dati e nell'ambito del monitoraggio delle entità iscritte nel registro delle organizzazioni per l'altruismo dei dati riconosciute.
2)I procedimenti a norma del presente articolo sono presentati dinanzi agli organi giurisdizionali dello Stato membro in cui è situata l'autorità contro cui è mosso il ricorso giurisdizionale.
Capo vi
Comitato europeo per l'innovazione in materia di dati
Articolo 26
Comitato europeo per l'innovazione in materia di dati
1)La Commissione istituisce un comitato europeo per l'innovazione in materia di dati ("il comitato") sotto forma di un gruppo di esperti costituito da rappresentanti delle autorità competenti di tutti gli Stati membri, del comitato europeo per la protezione dei dati, della Commissione e degli spazi di dati pertinenti, nonché da altri rappresentanti di autorità competenti di settori specifici.
2)I portatori di interessi e i terzi interessati possono essere invitati a presenziare alle riunioni del comitato e a partecipare alle sue attività.
3)La Commissione presiede le riunioni del comitato.
4)Il comitato è assistito da un segretariato fornito dalla Commissione.
Articolo 27
Compiti del comitato
Il comitato svolge i seguenti compiti:
a)consiglia e assiste la Commissione nello sviluppo di una prassi coerente degli enti pubblici e degli organismi competenti di cui all'articolo 7, paragrafo 1, che trattano le richieste di riutilizzo delle categorie di dati di cui all'articolo 3, paragrafo 1;
b)consiglia e assiste la Commissione nello sviluppo di una prassi coerente delle autorità competenti per l'applicazione delle prescrizioni applicabili ai fornitori di servizi di condivisione dei dati;
c)consiglia la Commissione in merito alla priorità da attribuire alle norme intersettoriali da utilizzare e sviluppare per l'utilizzo dei dati e la condivisione intersettoriale dei dati, alla comparabilità e allo scambio intersettoriali di buone pratiche per quanto riguarda le prescrizioni settoriali in materia di sicurezza e alle procedure di accesso, tenendo conto delle attività di normazione specifiche per settore;
d)assiste la Commissione nel rafforzamento dell'interoperabilità dei dati e dei servizi di condivisione dei dati tra diversi settori e ambiti, integrando le norme europee, internazionali o nazionali esistenti;
e)facilita la cooperazione tra le autorità nazionali competenti a norma del presente regolamento attraverso lo sviluppo di capacità e lo scambio di informazioni, in particolare stabilendo metodi per lo scambio efficiente di informazioni relative alla procedura di notifica per i fornitori di servizi di condivisione dei dati e alla registrazione e al monitoraggio delle organizzazioni per l'altruismo dei dati riconosciute.
Capo vii
Comitato e delega
Articolo 28
Esercizio della delega
1)Il potere di adottare atti delegati è conferito alla Commissione alle condizioni stabilite nel presente articolo.
2)Il potere di adottare atti delegati di cui all'articolo 5, paragrafo 11, è conferito alla Commissione per un periodo indeterminato a decorrere dal [...].
3)La delega di potere di cui all'articolo 5, paragrafo 11, può essere revocata in qualsiasi momento dal Parlamento europeo o dal Consiglio. La decisione di revoca pone fine alla delega di potere ivi specificata. Gli effetti della decisione decorrono dal giorno successivo alla pubblicazione della decisione nella Gazzetta ufficiale dell'Unione europea o da una data successiva ivi specificata. Essa non pregiudica la validità degli atti delegati già in vigore.
4)Prima dell'adozione dell'atto delegato la Commissione consulta gli esperti designati da ciascuno Stato membro nel rispetto dei principi stabiliti nell'accordo interistituzionale "Legiferare meglio" del 13 aprile 2016.
5)Non appena adotta un atto delegato, la Commissione ne dà contestualmente notifica al Parlamento europeo e al Consiglio.
6)L'atto delegato adottato a norma dell'articolo 5, paragrafo 11, entra in vigore solo se né il Parlamento europeo né il Consiglio hanno sollevato obiezioni entro il termine di tre mesi dalla data in cui esso è stato loro notificato o se, prima della scadenza di tale termine, sia il Parlamento europeo che il Consiglio hanno informato la Commissione che non intendono sollevare obiezioni. Tale termine è prorogato di tre mesi su iniziativa del Parlamento europeo o del Consiglio.
Articolo 29
Procedura di comitato
1)La Commissione è assistita da un comitato ai sensi del regolamento (UE) n. 182/2011.
2)Nei casi in cui è fatto riferimento al presente paragrafo, si applica l'articolo 4 del regolamento (UE) n. 182/2011.
3)Laddove il parere del comitato debba essere ottenuto con procedura scritta, questa si conclude senza esito quando, entro il termine per la formulazione del parere, il presidente del comitato decida in tal senso o un membro del comitato lo richieda. In tal caso, il presidente convoca una riunione del comitato entro un termine ragionevole.
Capo viii
Disposizioni finali
Articolo 30
Accesso internazionale
1)L'ente pubblico, la persona fisica o giuridica cui è stato concesso il diritto di riutilizzo dei dati a norma del capo II, il fornitore di servizi di condivisione dei dati o l'entità iscritta nel registro delle organizzazioni per l'altruismo dei dati riconosciute, a seconda dei casi, adotta tutte le ragionevoli misure tecniche, giuridiche e organizzative per impedire il trasferimento di dati non personali detenuti nell'Unione o l'accesso a questi ultimi qualora tale trasferimento o accesso confliggesse con il diritto dell'Unione o il diritto dello Stato membro pertinente, a meno che tale trasferimento o accesso non sia conforme ai paragrafi 2 o 3.
2)Le sentenze di un'autorità giurisdizionale e le decisioni di un'autorità amministrativa di un paese terzo che dispongano che un ente pubblico, una persona fisica o giuridica cui è stato concesso il diritto di riutilizzo dei dati a norma del capo II, un fornitore di servizi di condivisione dei dati o un'entità iscritta nel registro delle organizzazioni per l'altruismo dei dati riconosciute trasferisca dall'Unione dati non personali soggetti al presente regolamento o vi dia accesso nell'Unione possono essere riconosciute o assumere qualsivoglia carattere esecutivo soltanto se basate su un accordo internazionale in vigore tra il paese terzo richiedente e l'Unione, ad esempio un trattato di mutua assistenza giudiziaria, o su un accordo di questo tipo concluso tra il paese terzo richiedente e uno Stato membro prima del [entrata in vigore del presente regolamento].
3)Qualora un ente pubblico, una persona fisica o giuridica cui è stato concesso il diritto di riutilizzo dei dati a norma del capo II, un fornitore di servizi di condivisione dei dati o un'entità iscritta nel registro delle organizzazioni per l'altruismo dei dati riconosciute siano destinatari di una decisione di un organo giurisdizionale o di un'autorità amministrativa di un paese terzo di trasferire dall'Unione dati non personali detenuti nell'Unione o di darvi accesso e il rispetto di tale decisione rischiasse di mettere il destinatario in conflitto con il diritto dell'Unione o con il diritto dello Stato membro pertinente, il trasferimento di tali dati o l'accesso agli stessi da parte di tale autorità di un paese terzo ha luogo solo se:
a)il sistema del paese terzo richiede che siano indicati i motivi e la proporzionalità della decisione, e che l'ordinanza giudiziaria o la decisione, a seconda dei casi, abbia carattere specifico, ad esempio stabilendo un nesso sufficiente con determinate persone sospettate o determinate violazioni;
b)l'obiezione motivata del destinatario è oggetto di esame da parte di un organo giurisdizionale competente del paese terzo; e
c)in tale contesto, l'organo giurisdizionale competente che emette l'ordinanza o esamina la decisione di un'autorità amministrativa ha il potere, in virtù del diritto di tale paese, di tenere debitamente conto dei pertinenti interessi giuridici del fornitore dei dati tutelati dal diritto dell'Unione o dal diritto applicabile dello Stato membro.
Il destinatario della decisione chiede il parere degli organi o delle autorità competenti pertinenti, a norma del presente regolamento, al fine di determinare se tali condizioni sono soddisfatte.
4)Se le condizioni di cui ai paragrafi 2 o 3 sono soddisfatte, l'ente pubblico, la persona fisica o giuridica cui è stato concesso il diritto di riutilizzo dei dati a norma del capo II, il fornitore di servizi di condivisione dei dati o l'entità iscritta nel registro delle organizzazioni per l'altruismo dei dati riconosciute, a seconda dei casi, fornisce la quantità minima di dati ammissibile in risposta a una richiesta, sulla base di un'interpretazione ragionevole della richiesta.
5)L'ente pubblico, la persona fisica o giuridica cui è stato concesso il diritto di riutilizzo dei dati a norma del capo II, il fornitore di servizi di condivisione dei dati e l'entità iscritta nel registro delle organizzazioni per l'altruismo dei dati riconosciute informano il titolare dei dati dell'esistenza di una richiesta di accesso ai suoi dati da parte di un'autorità amministrativa di un paese terzo, tranne nei casi in cui la richiesta abbia fini di contrasto e per il tempo necessario a preservare l'efficacia dell'attività di contrasto.
Articolo 31
Sanzioni
Gli Stati membri stabiliscono le norme relative alle sanzioni da applicare in caso di violazione del presente regolamento e adottano tutte le misure necessarie per assicurarne l'applicazione. Le sanzioni previste devono essere effettive, proporzionate e dissuasive. Gli Stati membri notificano tali norme e misure alla Commissione entro [data di applicazione del regolamento] e le comunicano tempestivamente le successive modifiche ad esse pertinenti.
Articolo 32
Valutazione e riesame
Entro il [quattro anni dopo la data di applicazione del presente regolamento] la Commissione effettua una valutazione del presente regolamento e presenta al Parlamento europeo, al Consiglio e al Comitato economico e sociale europeo una relazione sulle principali conclusioni tratte. Gli Stati membri forniscono alla Commissione le informazioni necessarie per redigere tale relazione.
Articolo 33
Modifica del regolamento (UE) 2018/1724
Nell'allegato II del regolamento (UE) 2018/1724, alla voce "Avvio, gestione e chiusura di un'impresa" è aggiunta la seguente riga:
|
Avvio, gestione e chiusura di un'impresa |
Notifica come fornitore di servizi di condivisione dei dati |
Conferma di ricevimento della notifica |
|
Registrazione come organizzazione europea per l'altruismo dei dati |
Conferma della registrazione |
Articolo 34
Disposizioni transitorie
Le entità che alla data di entrata in vigore del presente regolamento forniscono i servizi di condivisione dei dati di cui all'articolo 9, paragrafo 1, ottemperano agli obblighi di cui al capo III entro il [data - 2 anni dopo la data di inizio dell'applicazione del presente regolamento].
Articolo 35
Entrata in vigore e applicazione
Il presente regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell'Unione europea.
Esso si applica a decorrere dal [12 mesi dopo l'entrata in vigore].
Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.
Fatto a Bruxelles, il
Per il Parlamento europeo Per il Consiglio
Il presidente Il presidente