3.6.2022   

IT

Gazzetta ufficiale dell’Unione europea

L 152/1


REGOLAMENTO (UE) 2022/868 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO

del 30 maggio 2022

relativo alla governance europea dei dati e che modifica il regolamento (UE) 2018/1724 (Regolamento sulla governance dei dati)

(Testo rilevante ai fini del SEE)

IL PARLAMENTO EUROPEO E IL CONSIGLIO DELL'UNIONE EUROPEA,

visto il trattato sul funzionamento dell'Unione europea, in particolare l'articolo 114,

vista la proposta della Commissione europea,

previa trasmissione del progetto di atto legislativo ai parlamenti nazionali,

visto il parere del Comitato economico e sociale europeo (1),

previa consultazione del Comitato delle regioni,

deliberando secondo la procedura legislativa ordinaria (2),

considerando quanto segue:

(1)

Il trattato sul funzionamento dell'Unione europea (TFUE) prevede l'instaurazione di un mercato interno e l'istituzione di un regime inteso a garantire l'assenza di distorsioni della concorrenza nel mercato interno. L'istituzione di norme e pratiche comuni negli Stati membri in relazione all'elaborazione di un quadro per la governance dei dati dovrebbe contribuire al conseguimento di tali obiettivi, nel pieno rispetto dei diritti fondamentali. Dovrebbe inoltre garantire il rafforzamento dell'autonomia strategica aperta dell'Unione, promuovendo nel contempo la libera circolazione dei dati a livello internazionale.

(2)

Nel corso dell'ultimo decennio le tecnologie digitali hanno trasformato l'economia e la società, influenzando tutti i settori di attività nonché la vita quotidiana. I dati sono al centro di tale trasformazione: l'innovazione guidata dai dati genererà benefici enormi sia per i cittadini dell'Unione che per l'economia, ad esempio migliorando e personalizzando la medicina, fornendo nuove soluzioni di mobilità e contribuendo alla comunicazione della Commissione dell'11 dicembre 2019 sul Green Deal europeo. Per rendere l'economia basata sui dati inclusiva per tutti i cittadini dell'Unione, occorre prestare particolare attenzione alla riduzione del divario digitale, al rafforzamento della partecipazione delle donne all'economia dei dati e alla promozione di competenze europee all'avanguardia nel settore tecnologico. L'economia dei dati deve essere creata in modo da consentire alle imprese, in particolare alle microimprese e alle piccole e medie imprese (PMI) quali definite nell'allegato della raccomandazione della Commissione 2003/361/CE (3) e alle start-up, di prosperare, garantendo neutralità dell'accesso ai dati e portabilità e interoperabilità dei dati, ed evitando effetti di dipendenza («lock-in»). Nella sua comunicazione del 19 febbraio 2020 su una strategia europea per i dati («strategia europea per i dati»), la Commissione ha descritto la visione di uno spazio comune europeo di dati: un mercato interno dei dati nel quale questi ultimi possano essere utilizzati indipendentemente dal loro luogo fisico di conservazione nell'Unione, nel rispetto della normativa applicabile, che tra le altre cose potrebbe essere centrale per il rapido sviluppo delle tecnologie di intelligenza artificiale.

La Commissione ha inoltre invitato a garantire la circolazione libera e sicura dei dati con i paesi terzi, soggetta a eccezioni e restrizioni per ragioni di pubblica sicurezza, ordine pubblico e nell'ottica di altri legittimi obiettivi di politica pubblica dell'Unione, in linea con gli obblighi internazionali, anche in materia di diritti fondamentali. Al fine di trasformare tale visione in realtà, la Commissione ha proposto di istituire, per la condivisione e la messa in comune dei dati, spazi comuni europei di dati specifici per dominio. Come proposto nella strategia europea per i dati, tali spazi comuni europei di dati potrebbero interessare settori quali la sanità, la mobilità, l'industria manifatturiera, i servizi finanziari, l'energia o l'agricoltura, o una combinazione di tali settori, ad esempio l'energia e il clima, nonché ambiti strategici quali il Green Deal europeo o gli spazi europei di dati per la pubblica amministrazione o le competenze. Gli spazi comuni europei di dati dovrebbero rendere i dati reperibili, accessibili, interoperabili e riutilizzabili («principi FAIR per i dati»), garantendo nel contempo un elevato livello di cibersicurezza. Laddove esista parità di condizioni nell'economia dei dati, le imprese competono sulla qualità dei servizi e non sulla quantità dei dati che controllano. Ai fini della progettazione, della creazione e del mantenimento delle condizioni di parità nell'economia dei dati, è necessaria una solida governance in cui i portatori di interessi di uno spazio comune europeo di dati devono partecipare ed essere rappresentati.

(3)

È necessario migliorare le condizioni per la condivisione dei dati nel mercato interno, creando un quadro armonizzato per gli scambi di dati e stabilendo alcuni requisiti di base per la governance dei dati, prestando particolare attenzione a facilitare la cooperazione tra gli Stati membri. Il presente regolamento dovrebbe mirare a sviluppare ulteriormente il mercato interno digitale senza frontiere e una società e un'economia dei dati antropocentriche, affidabili e sicure. La normativa settoriale a livello dell'Unione può sviluppare, adeguare e proporre elementi nuovi e complementari, a seconda delle specificità del settore, come nel caso della prevista normativa dell'Unione in materia di spazio europeo dei dati sanitari e di accesso ai dati dei veicoli. Taluni settori economici sono inoltre già disciplinati dalla normativa settoriale a livello dell'Unione che comprende norme in materia di condivisione di dati o di accesso ai dati a livello transfrontaliero o dell'Unione, ad esempio la direttiva 2011/24/UE del Parlamento europeo e del Consiglio (4) nel contesto dello spazio europeo dei dati sanitari e i pertinenti atti legislativi in materia di trasporti, come i regolamenti (UE) 2019/1239 (5) e (UE) 2020/1056 (6) e la direttiva 2010/40/UE (7) del Parlamento europeo e del Consiglio nel contesto dello spazio europeo dei dati sulla mobilità.

Il presente regolamento dovrebbe pertanto lasciare impregiudicati i regolamenti (CE) n. 223/2009 (8), (UE) 2018/858 (9) e (UE) 2018/1807 (10) nonché le direttive 2000/31/CE (11), 2001/29/CE (12), 2004/48/CE (13), 2007/2/CE (14), 2010/40/UE, (UE) 2015/849 (15), (UE) 2016/943 (16), (UE) 2017/1132 (17), (UE) 2019/790 (18) e (UE) 2019/1024 (19) del Parlamento europeo e del Consiglio e ogni altra normativa settoriale dell'Unione che disciplina l'accesso ai dati e il loro riutilizzo. Il presente regolamento dovrebbe lasciare impregiudicato il diritto dell'Unione e nazionale in materia di accesso ai dati e relativo utilizzo ai fini della prevenzione, dell'indagine, dell'accertamento e del perseguimento di reati o dell'esecuzione di sanzioni penali, nonché di cooperazione internazionale in tale contesto.

Il presente regolamento dovrebbe lasciare impregiudicate le competenze degli Stati membri per quanto riguarda le loro attività in materia di sicurezza pubblica, difesa e sicurezza nazionale. Il riutilizzo dei dati protetti per tali motivi e detenuti da enti pubblici, inclusi i dati relativi alle procedure di appalto che rientrano nell'ambito di applicazione della direttiva 2009/81/CE del Parlamento europeo e del Consiglio (20), non dovrebbe essere disciplinato dal presente regolamento. È opportuno istituire un regime orizzontale per il riutilizzo di talune categorie di dati protetti detenuti da enti pubblici e per la fornitura di servizi di intermediazione dei dati e di servizi basati sull'altruismo dei dati nell'Unione. Le caratteristiche specifiche dei diversi settori potrebbero imporre la progettazione di sistemi settoriali basati sui dati, sulla base dei requisiti del presente regolamento. I fornitori di servizi di intermediazione dei dati che soddisfano i requisiti stabiliti nel presente regolamento dovrebbero essere in grado di utilizzare il titolo di «fornitore di servizi di intermediazione dei dati riconosciuto nell'Unione». Le persone giuridiche che intendono sostenere obiettivi di interesse generale mettendo a disposizione quantità considerevoli di dati pertinenti sulla base dell'altruismo dei dati e che soddisfano i requisiti stabiliti nel presente regolamento dovrebbero potersi registrare in qualità di «organizzazione per l'altruismo dei dati riconosciuta nell'Unione» e utilizzare tale titolo. Qualora la normativa settoriale, dell'Unione o nazionale, imponga agli enti pubblici, a tali fornitori di servizi di intermediazione dei dati o tali persone giuridiche (organizzazioni per l'altruismo dei dati riconosciute) di rispettare specifici requisiti tecnici, amministrativi o organizzativi aggiuntivi, anche attraverso un regime di autorizzazione o certificazione, si dovrebbero applicare anche le disposizioni di tale normativa settoriale dell'Unione o nazionale.

(4)

Il presente regolamento dovrebbe lasciare impregiudicati i regolamenti (UE) 2016/679 (21) e (UE) 2018/1725 (22) del Parlamento europeo e del Consiglio, le direttive 2002/58/CE (23) e (UE) 2016/680 (24) del Parlamento europeo e del Consiglio e le corrispondenti disposizioni del diritto nazionale, anche qualora i dati personali e non personali di una serie di dati siano indissolubilmente legati. In particolare, il presente regolamento non dovrebbe intendersi, in particolare, come creazione di una nuova base giuridica per il trattamento dei dati personali per nessuna delle attività regolamentate, né come modifica dei requisiti in materia di informazione stabiliti nel regolamento (UE) 2016/679. L'attuazione del presente regolamento non dovrebbe impedire i trasferimenti transfrontalieri di dati in conformità del capo V del regolamento (UE) 2016/679. In caso di conflitto tra il presente regolamento e il diritto dell'Unione in materia di protezione dei dati personali o del diritto nazionale adottato conformemente a tale diritto dell'Unione, il pertinente diritto dell'Unione o nazionale in materia di protezione dei dati personali dovrebbe prevalere. Dovrebbe essere possibile considerare le autorità per la protezione dei dati autorità competenti ai sensi del presente regolamento. Qualora altre autorità fungano da autorità competenti ai sensi del presente regolamento, esse dovrebbero agire senza pregiudicare i poteri di controllo e le competenze delle autorità per la protezione dei dati ai sensi del regolamento (UE) 2016/679.

(5)

L'azione a livello dell'Unione è necessaria per aumentare la fiducia nella condivisione dei dati istituendo adeguati meccanismi che garantiscano il controllo da parte degli interessati e dei titolari dei dati sui dati che li riguardano e al fine di affrontare altri ostacoli al buon funzionamento di un'economia competitiva basata sui dati. Tale azione non dovrebbe pregiudicare gli obblighi e gli impegni negli accordi commerciali internazionali conclusi dall'Unione. Un quadro di governance a livello dell'Unione dovrebbe avere l'obiettivo di creare fiducia tra gli individui e le imprese per quanto riguarda l'accesso ai dati, la loro condivisione e il loro controllo, utilizzo e riutilizzo, in particolare stabilendo adeguati meccanismi per gli interessati affinché conoscano ed esercitino fattivamente i propri diritti nonché per quanto riguarda il riutilizzo di alcune tipologie di dati detenuti dagli enti pubblici, la fornitura di servizi da parte dei fornitori di servizi di intermediazione dei dati agli interessati, ai titolari e agli utenti dei dati, nonché la raccolta e il trattamento dei dati messi a disposizione a fini altruistici da persone fisiche e giuridiche. In particolare, una maggiore trasparenza per quanto riguarda la finalità dell'utilizzo dei dati e le condizioni in cui i dati sono conservati dalle imprese può contribuire ad aumentare la fiducia.

(6)

L'idea che i dati generati o raccolti da enti pubblici o altre entità a carico dei bilanci pubblici debbano apportare benefici alla società è da tempo parte integrante delle politiche dell'Unione. La direttiva (UE) 2019/1024 e la normativa settoriale dell'Unione garantiscono che gli enti pubblici rendano facilmente disponibile per l'utilizzo e il riutilizzo una quota maggiore dei dati che producono. Spesso talune categorie di dati conservati in basi di dati pubbliche, quali dati commerciali riservati, dati soggetti a segreto statistico e dati protetti da diritti di proprietà intellettuale di terzi, compresi segreti commerciali e dati personali, spesso non sono messe a disposizione, nemmeno per attività di ricerca o di innovazione nel pubblico interesse, nonostante tale disponibilità sia possibile in conformità del diritto dell'Unione applicabile, in particolare del regolamento (UE) 2016/679 e delle direttive 2002/58/CE e (UE) 2016/680. A causa della sensibilità di tali dati, prima che essi siano messi a disposizione si devono soddisfare alcuni requisiti procedurali tecnici e giuridici al fine, se non altro, di garantire il rispetto dei diritti di terzi sui dati in questione o di limitare l'effetto negativo sui diritti fondamentali, sul principio di non discriminazione e sulla protezione dei dati. L'adempimento di tali requisiti risulta abitualmente molto dispendioso in termini di tempo e richiede un livello molto elevato di conoscenze. Ciò ha determinato un utilizzo insufficiente di tali dati. Per quanto alcuni Stati membri stiano istituendo strutture, procedure o adottando norme per agevolare tale tipo di riutilizzo, ciò non accade in tutta l'Unione. Al fine di agevolare l'utilizzo dei dati per la ricerca e l'innovazione europee da parte di soggetti pubblici e privati, sono necessarie condizioni chiare per l'accesso a tali dati e il loro utilizzo in tutta l'Unione.

(7)

Esistono tecniche che consentono l'analisi di banche dati contenenti dati personali, quali l'anonimizzazione, la privacy differenziale, la generalizzazione, la soppressione e la casualizzazione, l'utilizzo di dati sintetici o metodi analoghi, nonché altri metodi all'avanguardia di tutela della vita privata che potrebbero contribuire a un trattamento dei dati maggiormente rispettoso della vita privata. Gli Stati membri dovrebbero fornire sostegno agli enti pubblici affinché utilizzino in maniera ottimale tali tecniche, rendendo così disponibili quanti più dati possibili per la condivisione. L'applicazione di tali tecniche, unite a valutazioni d'impatto globali in materia di protezione dei dati e ad altre tutele può contribuire a una maggiore sicurezza nell'utilizzo e riutilizzo dei dati personali e dovrebbe garantire il riutilizzo sicuro dei dati commerciali riservati a fini statistici, di ricerca e di innovazione. In molti casi l'applicazione di tali tecniche, valutazioni d'impatto e altre tutele implica che i dati possano essere utilizzati e riutilizzati solamente in un ambiente di trattamento sicuro fornito o controllato dall'ente pubblico. L'uso di simili ambienti di trattamento sicuro è già stato sperimentato a livello dell'Unione ai fini della ricerca su microdati statistici, sulla base del regolamento (UE) n. 557/2013 della Commissione (25). Per quanto concerne i dati personali, il trattamento dei dati personali dovrebbe in generale essere basato su una o più delle basi giuridiche per il trattamento dei dati personali previste agli articoli 6 e 9 del regolamento (UE) 2016/679.

(8)

A norma del regolamento (UE) 2016/679, i principi di protezione dei dati non dovrebbero applicarsi a informazioni anonime, vale a dire informazioni che non si riferiscono a una persona fisica identificata o identificabile, o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l'identificazione dell'interessato. La reidentificazione degli interessati a partire da insiemi di dati anonimizzati dovrebbe essere vietata. Ciò dovrebbe lasciare impregiudicata la possibilità di svolgere ricerche sulle tecniche di anonimizzazione, segnatamente al fine di garantire la sicurezza delle informazioni, migliorare le tecniche di anonimizzazione esistenti e contribuire alla solidità generale dell'anonimizzazione, a norma del regolamento (UE) 2016/679.

(9)

Al fine di facilitare la protezione dei dati personali e riservati e accelerare la messa a disposizione di tali dati per il riutilizzo ai sensi del presente regolamento, gli Stati membri dovrebbero incoraggiare gli enti pubblici a creare e mettere a disposizione i dati in conformità del principio dell'«apertura fin dalla progettazione e per impostazione predefinita» di cui all'articolo 5, paragrafo 2, della direttiva (UE) 2019/1024 e promuovere la creazione e la raccolta di dati in formati e strutture che facilitino l'anonimizzazione in tal senso.

(10)

Le categorie di dati detenuti da enti pubblici, che dovrebbero essere soggetti al riutilizzo a norma del presente regolamento, non rientrano nell'ambito di applicazione della direttiva (UE) 2019/1024, che esclude i dati che non sono accessibili per motivi di riservatezza commerciale o statistica e i dati che figurano in opere o in altro materiale su cui terzi detengono diritti di proprietà intellettuale. I dati commerciali riservati comprendono i dati protetti da segreti commerciali, il know-how protetto e qualsiasi altra informazione la cui divulgazione indebita avrebbe un impatto sulla posizione di mercato o sulla solidità finanziaria dell'impresa. Il presente regolamento si dovrebbe applicare ai dati personali che non rientrano nell'ambito di applicazione della direttiva (UE) 2019/1024 nella misura in cui il regime di accesso esclude o limita l'accesso a tali dati per motivi di protezione dei dati, di vita privata e di integrità dell'individuo, conformemente in particolare alle norme in materia di protezione dei dati. Il riutilizzo di dati che possono contenere segreti commerciali dovrebbe avere luogo senza pregiudicare la direttiva (UE) 2016/943, che istituisce il quadro per l'acquisizione, l'utilizzo e la divulgazione leciti dei segreti commerciali.

(11)

Il presente regolamento non dovrebbe introdurre l'obbligo di consentire il riutilizzo dei dati detenuti da enti pubblici. In particolare, ciascuno Stato membro dovrebbe pertanto poter decidere se i dati sono resi accessibili per il riutilizzo, anche in termini di finalità e portata di tale accesso. Il presente regolamento dovrebbe integrare e lasciare impregiudicati gli obblighi più specifici degli enti pubblici, stabiliti nella normativa settoriale dell'Unione o nazionale, quanto alla facoltà di consentire il riutilizzo dei dati. L'accesso del pubblico ai documenti ufficiali può essere considerato di interesse pubblico. Tenuto conto del ruolo dell'accesso del pubblico ai documenti ufficiali e della trasparenza in una società democratica, il presente regolamento dovrebbe lasciare altresì impregiudicato il diritto dell'Unione e nazionale sulla concessione dell'accesso ai documenti ufficiali e sulla loro divulgazione. L'accesso ai documenti ufficiali può essere concesso, in particolare, conformemente al diritto nazionale senza imporre condizioni specifiche o imponendo condizioni specifiche non previste dal presente regolamento.

(12)

Il regime di riutilizzo previsto dal presente regolamento dovrebbe applicarsi a dati la cui fornitura è parte dei compiti di servizio pubblico degli enti pubblici in questione, ai sensi del diritto o di altre norme vincolanti negli Stati membri. In mancanza di tali norme, i compiti di servizio pubblico dovrebbero essere definiti in conformità delle comuni prassi amministrative degli Stati membri, a condizione che l'ambito di detti compiti sia trasparente e soggetto a revisione. I compiti di servizio pubblico potrebbero essere definiti in linea generale o caso per caso per i singoli enti pubblici. Poiché le imprese pubbliche non rientrano nella definizione di ente pubblico, i dati detenuti da imprese pubbliche non dovrebbero essere contemplati dal presente regolamento. I dati detenuti da istituti culturali, quali biblioteche, archivi e musei, nonché orchestre, compagnie d'opera o di balletto e teatri, e da istituti di istruzione non dovrebbero rientrare nel campo di applicazione del presente regolamento in quanto le opere e gli altri documenti in loro possesso sono prevalentemente coperti da diritti di proprietà intellettuale di terzi. Anche le organizzazioni che svolgono attività di ricerca e le organizzazioni che finanziano la ricerca potrebbero essere organizzate come enti pubblici o enti di diritto pubblico.

Il presente regolamento dovrebbe applicarsi a tali organizzazioni ibride solo nella loro qualità di organizzazioni che svolgono attività di ricerca. Se le organizzazioni che svolgono attività di ricerca detengono dati nell'ambito di una specifica associazione pubblico-privato con organizzazioni del settore privato o altri enti pubblici, enti di diritto pubblico o organizzazioni ibride che svolgono attività di ricerca, ossia organizzate come enti pubblici o imprese pubbliche, con lo scopo principale di svolgere attività di ricerca, anche tali dati non dovrebbero essere contemplati dal presente regolamento. Se del caso, gli Stati membri dovrebbero poter applicare il presente regolamento alle imprese pubbliche o private che esercitano funzioni del settore pubblico o forniscono servizi di interesse generale. Lo scambio di dati, esclusivamente nell'adempimento dei rispettivi compiti di servizio pubblico, tra enti pubblici nell'Unione o tra enti pubblici nell'Unione ed enti pubblici in paesi terzi o organizzazioni internazionali, nonché lo scambio di dati tra ricercatori a fini di ricerca scientifica non commerciale, non dovrebbe essere soggetto alle disposizioni del presente regolamento relative al riutilizzo di determinate categorie di dati protetti detenuti da enti pubblici.

(13)

È opportuno che gli enti pubblici rispettino il diritto della concorrenza nello stabilire i principi per il riutilizzo dei dati da essi detenuti, evitando la conclusione di accordi che potrebbero avere quale obiettivo o conseguenza la creazione di diritti esclusivi per il riutilizzo di taluni dati. Accordi di tale tenore dovrebbero essere possibili solo se giustificati e necessari per la fornitura di un servizio o di un prodotto di interesse generale. Tale caso potrebbe presentarsi qualora l'utilizzo esclusivo dei dati rappresenti l'unico modo per massimizzare i benefici sociali dei dati in questione, ad esempio quando esiste un'unica entità (che si è specializzata nel trattamento di uno specifico set di dati) in grado di fornire il servizio o il prodotto che consente all'ente pubblico di fornire a sua volta un servizio o un prodotto di interesse generale. Simili accordi dovrebbero tuttavia essere conclusi in conformità del diritto dell'Unione o nazionale applicabile ed essere soggetti a un riesame periodico basato su un'analisi di mercato al fine di accertare che tale esclusività continui ad essere necessaria. Tali accordi dovrebbero inoltre rispettare, ove opportuno, le pertinenti norme in materia di aiuti di Stato e dovrebbero essere conclusi per una durata limitata che non dovrebbe essere superiore a 12 mesi. Al fine di garantire trasparenza, è opportuno pubblicare online tali accordi di esclusiva, in una forma conforme al pertinente diritto dell'Unione in materia di appalti pubblici. Qualora un diritto esclusivo di riutilizzo dei dati non rispetti il presente regolamento, tale diritto esclusivo dovrebbe essere invalido.

(14)

Gli accordi di esclusiva vietati e altre pratiche o accordi riguardanti il riutilizzo di dati detenuti da enti pubblici che non concedono espressamente diritti esclusivi, ma che lasciano ragionevolmente prevedere una possibile limitazione della disponibilità dei dati per il riutilizzo e che sono stati conclusi o erano già validi prima della data di entrata in vigore del presente regolamento, non dovrebbero essere rinnovati dopo la scadenza della loro validità. Gli accordi a più lungo termine o conclusi per un periodo indeterminato dovrebbero essere risolti entro 30 mesi dalla data di entrata in vigore del presente regolamento.

(15)

Il presente regolamento dovrebbe stabilire le condizioni per il riutilizzo dei dati protetti da applicarsi agli enti pubblici che, a norma del diritto nazionale, sono designati come competenti per consentire o negare l'accesso per il riutilizzo, e dovrebbe lasciare impregiudicati i diritti e gli obblighi relativi all'accesso a tali dati. Tali condizioni dovrebbero essere non discriminatorie, trasparenti, proporzionate e oggettivamente giustificate e allo stesso tempo non dovrebbero limitare la concorrenza, con un'attenzione specifica alla promozione dell'accesso a tali dati da parte delle PMI e delle start-up. Le condizioni per il riutilizzo dovrebbero essere concepite in modo da promuovere la ricerca scientifica di modo che, ad esempio, il fatto di privilegiare la ricerca scientifica dovrebbe di norma essere considerato non discriminatorio. Gli enti pubblici che hanno facoltà di consentire il riutilizzo dovrebbero disporre dei mezzi tecnici necessari per garantire la protezione dei diritti e degli interessi di terzi e dovrebbe essere conferito loro il potere di chiedere le informazioni necessarie al riutilizzatore. È opportuno limitare le condizioni cui è subordinato il riutilizzo dei dati a quanto necessario per tutelare i diritti e gli interessi di terzi nei dati e l'integrità dei sistemi informatici e di comunicazione degli enti pubblici. Gli enti pubblici dovrebbero applicare le condizioni che meglio rispondono agli interessi del riutilizzatore senza comportare un onere sproporzionato per gli enti pubblici. Le condizioni cui è subordinato il riutilizzo dei dati dovrebbero essere concepite in modo da assicurare garanzie efficaci per quanto concerne la protezione dei dati personali. Prima della loro trasmissione, i dati personali dovrebbero essere anonimizzati, affinché non sia consentita l'identificazione degli interessati, e i dati contenenti informazioni commerciali riservate dovrebbero essere modificati in modo tale da non divulgare alcuna informazione riservata. Qualora la fornitura di dati anonimizzati o modificati non rispondesse alle esigenze del riutilizzatore, a condizione che siano stati soddisfatti i requisiti di svolgere una valutazione d'impatto in materia di protezione dei dati e consultare l'autorità di controllo ai sensi degli articoli 35 e 36 del regolamento (UE) 2016/679 e qualora i rischi per i diritti e gli interessi degli interessati risultino minimi, potrebbe essere consentito il riutilizzo in loco o remoto dei dati in un ambiente di trattamento sicuro.

Ciò potrebbe costituire una soluzione adeguata per il riutilizzo dei dati pseudonimizzati. È opportuno che le analisi dei dati in tali ambienti di trattamento sicuri siano controllate dall'ente pubblico al fine di proteggere i diritti e gli interessi di terzi. In particolare, i dati personali dovrebbero essere trasmessi a terzi per il riutilizzo soltanto laddove una base giuridica conforme alla legislazione sulla protezione dei dati consenta tale trasmissione. I dati non personali dovrebbero essere trasmessi solo quando non vi è motivo di ritenere che la combinazione di set di dati non personali condurrebbe all'identificazione degli interessati. Ciò dovrebbe valere anche per i dati pseudonimizzati che mantengono il loro status di dati personali. In caso di reidentificazione degli interessati, in aggiunta a un obbligo di notifica di tale violazione a un'autorità di controllo e all'interessato a norma del regolamento (UE) 2016/679, dovrebbe applicarsi un obbligo di notifica all’ente pubblico di tale violazione dei dati. Gli enti pubblici dovrebbero, se del caso, agevolare il riutilizzo dei dati sulla base del consenso degli interessati o dell'autorizzazione dei titolari dei dati al riutilizzo dei dati che li riguardano mediante mezzi tecnici adeguati. A tale riguardo, l'ente pubblico dovrebbe adoperarsi al meglio per fornire assistenza ai potenziali riutilizzatori nella ricerca di tale consenso o autorizzazione, istituendo meccanismi tecnici che permettano di trasmettere le richieste di consenso formulate dai riutilizzatori, ove ciò sia fattibile nella pratica. Non dovrebbe essere fornita nessuna informazione che consenta ai riutilizzatori di contattare direttamente gli interessati o i titolari dei dati. Nel trasmettere una richiesta di consenso o di autorizzazione, l'ente pubblico dovrebbe garantire che l'interessato sia chiaramente informato della possibilità di rifiutare il consenso o l'autorizzazione.

(16)

Al fine di facilitare e incoraggiare l'utilizzo dei dati detenuti da enti pubblici a fini di ricerca scientifica, gli enti pubblici sono incoraggiati a sviluppare un approccio armonizzato e processi armonizzati intesi a rendere tali dati facilmente accessibili a fini di ricerca scientifica nell'interesse pubblico. Ciò potrebbe comportare, tra l'altro, la creazione di procedure amministrative semplificate, la formattazione standardizzata dei dati, metadati informativi sulle scelte metodologiche e di raccolta dei dati e campi di dati standardizzati che consentano la facile integrazione di serie di dati provenienti da diverse fonti di dati del settore pubblico, se necessario ai fini dell'analisi. L'obiettivo di tali pratiche dovrebbe essere la promozione dei dati finanziati e prodotti con fondi pubblici a fini di ricerca scientifica, conformemente al principio «il più aperto possibile, chiuso il tanto necessario».

(17)

Il presente regolamento non dovrebbe incidere sui diritti di proprietà intellettuale di terzi. Il presente regolamento dovrebbe altresì lasciare impregiudicate l'esistenza o la titolarità di diritti di proprietà intellettuale degli enti pubblici e non dovrebbe limitare in alcun modo l'esercizio di tali diritti. Gli obblighi imposti a norma del presente regolamento si dovrebbero applicare soltanto nella misura in cui siano compatibili con gli accordi internazionali sulla protezione dei diritti di proprietà intellettuale, in particolare la convenzione di Berna per la protezione delle opere letterarie e artistiche («convenzione di Berna»), l'accordo sugli aspetti dei diritti di proprietà intellettuale attinenti al commercio («accordo TRIPS»), il trattato dell'Organizzazione mondiale per la proprietà intellettuale sul diritto d'autore (WIPO Copyright Treaty — WCT) e il diritto dell'Unione o nazionale sulla proprietà intellettuale. Gli enti pubblici dovrebbero comunque esercitare il proprio diritto di autore in maniera tale da agevolare il riutilizzo dei dati.

(18)

I dati protetti da diritti di proprietà intellettuale, come pure i segreti commerciali, dovrebbero unicamente essere trasmessi a terzi qualora tale trasmissione sia lecita in virtù del diritto dell'Unione o nazionale o con il consenso del titolare dei diritti. Nel caso in cui sia accordato agli enti pubblici il diritto del costitutore di una banca di dati di cui all'articolo 7, paragrafo 1, della direttiva 96/9/CE del Parlamento europeo e del Consiglio (26), essi non dovrebbero esercitare tale diritto per impedire il riutilizzo dei dati o limitarlo più di quanto stabilito dal presente regolamento.

(19)

Le imprese e gli interessati dovrebbero poter confidare nel fatto che il riutilizzo di determinate categorie di dati protetti, detenuti dagli enti pubblici, sarà effettuato in maniera tale da rispettare i loro diritti e interessi. È pertanto opportuno predisporre tutele supplementari per situazioni nelle quali il riutilizzo di tali dati del settore pubblico ha luogo sulla base di un trattamento dei dati al di fuori di tale settore, tra cui un obbligo per gli enti pubblici di garantire che i diritti e gli interessi delle persone fisiche e giuridiche, in particolare per quanto riguarda i dati personali, i dati commerciali sensibili e i diritti di proprietà intellettuale, siano pienamente tutelati in tutti i casi, incluso il trasferimento di tali dati a paesi terzi. Gli enti pubblici non dovrebbero consentire il riutilizzo delle informazioni conservate in applicazioni di sanità elettronica da parte delle imprese di assicurazione o di qualsiasi altro fornitore di servizi al fine di discriminare nella fissazione dei prezzi, in quanto ciò sarebbe contrario al diritto fondamentale di accesso alla salute.

(20)

È inoltre di estrema importanza, al fine di preservare una concorrenza leale e l'economia di mercato aperta, salvaguardare i dati protetti di natura non personale, in particolare i segreti commerciali, ma anche i dati non personali che costituiscono un contenuto protetto da diritti di proprietà intellettuale da un accesso illecito che possa portare al furto della proprietà intellettuale o allo spionaggio industriale. Al fine di garantire la protezione dei diritti o degli interessi dei titolari dei dati, possono essere trasferiti a paesi terzi i dati non personali che devono essere protetti da accessi illeciti o non autorizzati in conformità del diritto dell'Unione o nazionale e che sono detenuti da enti pubblici, ma solo allorché sono previste tutele adeguate per l'utilizzo dei dati. Tali tutele adeguate dovrebbero includere l'obbligo che l'ente pubblico trasmetta dati protetti a un riutilizzatore solo se quest'ultimo si impegni contrattualmente nell'interesse della protezione dei dati. Un riutilizzatore che intende trasferire i dati protetti a un tale paese terzo dovrebbe rispettare gli obblighi sanciti dal presente regolamento anche dopo l'avvenuto trasferimento dei dati al paese terzo. Per garantire la corretta applicazione di tali obblighi il riutilizzatore dovrebbe altresì accettare la giurisdizione dello Stato membro dell'ente pubblico che ha consentito il riutilizzo ai fini della risoluzione giudiziale delle controversie.

(21)

Si dovrebbe inoltre prendere in considerazione l'applicazione di tutele adeguate se, nel paese terzo verso il quale vengono trasferiti i dati personali, sono in vigore misure equivalenti che garantiscono che i dati beneficino di un livello di protezione analogo a quello applicabile mediante il diritto dell'Unione, in particolare per quanto riguarda la protezione dei segreti commerciali e dei diritti di proprietà intellettuale. Se giustificato da un numero considerevole di richieste in tutta l'Unione riguardanti il riutilizzo di dati non personali in determinati paesi terzi, la Commissione dovrebbe poter essere in grado di dichiarare a tal fine, mediante atti di esecuzione, che un paese terzo fornisce un livello di protezione sostanzialmente equivalente a quello previsto dal diritto dell'Unione. La Commissione dovrebbe valutare la necessità di tali atti di esecuzione sulla base delle informazioni fornite dagli Stati membri tramite il comitato europeo per l'innovazione in materia di dati. Tali atti di esecuzione rassicurerebbero gli enti pubblici sul fatto che il riutilizzo dei dati detenuti da enti pubblici nel paese terzo in questione non comprometterebbe la natura protetta di tali dati. La valutazione del livello di protezione conseguito nel paese terzo in questione dovrebbe in particolare tenere in considerazione la pertinente normativa generale e settoriale, anche in materia di pubblica sicurezza, difesa, sicurezza nazionale e diritto penale relativo all'accesso ai dati non personali e alla loro protezione, qualsiasi accesso da parte degli enti pubblici di tale paese terzo ai dati trasferiti, l'esistenza e l'effettivo funzionamento nel paese terzo di una o più autorità di controllo indipendenti responsabili di garantire e far rispettare il regime giuridico che assicura l'accesso a tali dati, gli impegni internazionali dei paesi terzi in materia di protezione dei dati, o altri obblighi derivanti da convenzioni o strumenti giuridicamente vincolanti, nonché la partecipazione del paese terzo a sistemi multilaterali o regionali.

L'esistenza di mezzi di ricorso effettivi per i titolari dei dati, gli enti pubblici o i fornitori di servizi di intermediazione dei dati nel paese terzo in questione riveste un'importanza particolare nel contesto del trasferimento di dati non personali a tale paese terzo. Tali tutele dovrebbero pertanto comprendere la disponibilità di diritti azionabili e mezzi di ricorso effettivi. Tali atti di esecuzione dovrebbero lasciare impregiudicati eventuali obblighi giuridici o accordi contrattuali già sottoscritti da un riutilizzatore nell'interesse della protezione dei dati non personali, in particolare dei dati industriali, nonché il diritto degli enti pubblici di obbligare i riutilizzatori a rispettare le condizioni per il riutilizzo, conformemente al presente regolamento.

(22)

Alcuni paesi terzi adottano leggi, regolamenti e altri atti giuridici che mirano a trasferire direttamente i dati non personali o a fornire un accesso diretto agli stessi da parte delle autorità pubbliche nell'Unione, sotto il controllo di persone fisiche e giuridiche poste sotto la giurisdizione degli Stati membri. Le decisioni e le sentenze di autorità giurisdizionali o le decisioni di autorità amministrative di paesi terzi che dispongono un tale trasferimento di dati non personali o l'accesso agli stessi dovrebbero avere carattere esecutivo quando sono basate su un accordo internazionale in vigore tra il paese terzo richiedente e l'Unione o un suo Stato membro, ad esempio un trattato di mutua assistenza giudiziaria. Possono in alcuni casi presentarsi situazioni in cui l'obbligo di trasferire i dati non personali, o di fornirvi accesso, derivante dalla normativa di un paese terzo, sia in conflitto con un obbligo concorrente di proteggere tali dati a norma del diritto dell'Unione o nazionale, in particolare per quanto riguarda la protezione dei diritti fondamentali della persona o degli interessi fondamentali di uno Stato membro connessi alla sicurezza nazionale o alla difesa, nonché la protezione dei dati commerciali sensibili e dei diritti di proprietà intellettuale, compresi anche gli obblighi contrattuali in materia di riservatezza conformemente a tale normativa. In assenza di accordi internazionali atti a disciplinare simili questioni, il trasferimento o l'accesso a dati non personali dovrebbero essere consentiti solo previa verifica, in particolare, che il sistema giuridico del paese terzo imponga che siano indicati i motivi e la proporzionalità della decisione o della sentenza, che la decisione o la sentenza abbia carattere specifico e che l'obiezione motivata del destinatario sia sottoposta a riesame da parte di un'autorità giurisdizionale competente nel paese terzo, cui sia conferito il potere di tenere debitamente conto dei pertinenti interessi giuridici del fornitore di tali dati.

Inoltre, gli enti pubblici, le persone fisiche o giuridiche cui è stato concesso il diritto di riutilizzo dei dati, i fornitori di servizi di intermediazione dei dati e le organizzazioni per l'altruismo dei dati riconosciute dovrebbero garantire, al momento della firma di accordi contrattuali con altre parti private, che i dati non personali detenuti nell'Unione siano accessibili da parte di paesi terzi o ad essi trasferiti solo in conformità del diritto dell'Unione o del diritto nazionale dello Stato membro interessato.

(23)

Al fine di promuovere ulteriore fiducia nell'economia dei dati dell'Unione, è essenziale che siano attuate tutele nei confronti dei cittadini, del settore pubblico e delle imprese dell'Unione che garantiscano loro il controllo sui rispettivi dati strategici e sensibili e che siano rispettati il diritto, i valori e le norme dell'Unione, tra l'altro in termini di sicurezza, protezione dei dati e protezione dei consumatori. Per prevenire un accesso illecito a dati non personali, gli enti pubblici, le persone fisiche o giuridiche cui è stato concesso il diritto di riutilizzo dei dati, i fornitori di servizi di intermediazione dei dati e le organizzazioni per l'altruismo dei dati riconosciute dovrebbero adottare tutte le misure ragionevoli per impedire l'accesso ai sistemi in cui sono conservati dati non personali, compresi cifratura dei dati e politiche aziendali. A tal fine, si dovrebbe garantire che gli enti pubblici, le persone fisiche o giuridiche cui è stato concesso il diritto di riutilizzo dei dati, i fornitori di servizi di intermediazione dei dati e le organizzazioni per l'altruismo dei dati riconosciute rispettino tutte le norme tecniche, i codici di condotta e le certificazioni pertinenti a livello dell'Unione.

(24)

Al fine di creare fiducia nei meccanismi di riutilizzo, può essere necessario prevedere condizioni più rigorose per determinati tipi di dati non personali che possono essere ritenuti altamente sensibili in futuri specifici atti legislativi dell'Unione per quanto riguarda il trasferimento a paesi terzi, se tale trasferimento può compromettere obiettivi di politica pubblica dell'Unione, in linea con gli impegni internazionali. Nel settore della sanità, ad esempio, determinati set di dati detenuti da soggetti operanti nel sistema sanitario pubblico, quali gli ospedali pubblici, potrebbero essere considerati dati sanitari altamente sensibili. Altri settori pertinenti comprendono i trasporti, l'energia, l'ambiente e la finanza. Per garantire pratiche armonizzate in tutta l'Unione, tali tipologie di dati pubblici non personali altamente sensibili dovrebbero essere definite dal diritto dell'Unione, ad esempio nel contesto dello spazio europeo dei dati sanitari o di altra normativa settoriale. È opportuno stabilire mediante atti delegati tali condizioni cui è subordinato il trasferimento di tali dati a paesi terzi. Le condizioni dovrebbero essere proporzionate, non discriminatorie e necessarie per tutelare i legittimi obiettivi di politica pubblica dell'Unione individuati, quali la protezione della salute pubblica, la sicurezza, l'ambiente, la morale pubblica e la protezione dei consumatori, della vita privata e dei dati personali. Le condizioni dovrebbero corrispondere ai rischi identificati in relazione alla sensibilità di tali dati, anche in termini di rischi di reidentificazione dei singoli individui. Tali condizioni potrebbero includere termini applicabili per il trasferimento o modalità tecniche, quali l'obbligo di utilizzare un ambiente di trattamento sicuro, limiti relativi al riutilizzo dei dati nei paesi terzi o categorie di persone aventi facoltà di trasferire tali dati a paesi terzi o che possono accedere ai dati nel paese terzo. In casi eccezionali tali condizioni potrebbero inoltre comprendere restrizioni al trasferimento dei dati a paesi terzi per tutelare l'interesse pubblico.

(25)

Gli enti pubblici dovrebbero poter imporre tariffe per il riutilizzo dei dati, ma dovrebbero altresì poter consentirne il riutilizzo a tariffe ridotte o nulla, ad esempio per determinate categorie di riutilizzo quali il riutilizzo a fini non commerciali o a fini di ricerca scientifica, o il riutilizzo da parte delle PMI e delle start-up, nonché della società civile e degli istituti di istruzione, in modo da incentivare tale riutilizzo al fine di stimolare la ricerca e l'innovazione e sostenere le imprese che rappresentano un'importante fonte di innovazione e incontrano generalmente maggiori difficoltà a raccogliere esse stesse dati pertinenti, in conformità con la normativa in materia di aiuti di Stato. In questo contesto specifico, i fini di ricerca scientifica dovrebbero includere qualsiasi tipo di finalità connessa alla ricerca, indipendentemente dalla struttura organizzativa o finanziaria dell'istituto di ricerca in questione, ad eccezione della ricerca condotta da un'impresa con finalità di sviluppo, miglioramento o ottimizzazione di prodotti o servizi. Le tariffe dovrebbero essere trasparenti, non discriminatorie e limitate ai costi sostenuti e non dovrebbero limitare la concorrenza. Un elenco delle categorie di riutilizzatori ai quali si applicano tariffe ridotte o nulle dovrebbe essere reso pubblico unitamente ai criteri utilizzati per stilare tale elenco.

(26)

Al fine di incentivare il riutilizzo di particolari categorie di dati detenuti da enti pubblici, gli Stati membri dovrebbero istituire uno sportello unico che funga da interfaccia per i riutilizzatori che intendono riutilizzare tali dati. Lo sportello dovrebbe avere un mandato intersettoriale e integrare, ove necessario, gli accordi a livello settoriale. Esso dovrebbe potersi avvalere di strumenti automatizzati per la trasmissione delle richieste di informazioni o delle richieste di riutilizzo. Nel processo di trasmissione dovrebbe essere garantita una sorveglianza umana sufficiente. A tal fine potrebbero essere utilizzate modalità pratiche già esistenti, quali i portali open data. Lo sportello unico dovrebbe disporre di una panoramica delle risorse contenente tutte le fonti di dati disponibili, comprese, se del caso, quelle fonti di dati disponibili presso i punti di informazione settoriali, regionali o locali, con pertinenti informazioni riguardo ai dati disponibili. Gli Stati membri dovrebbero inoltre designare, istituire o agevolare l'istituzione di organismi competenti per sostenere le attività degli enti pubblici che hanno facoltà di consentire il riutilizzo di determinate categorie di dati protetti. I loro compiti possono comprendere la concessione dell'accesso ai dati, ove previsto dalla legislazione settoriale dell'Unione o nazionale. Tali organismi competenti dovrebbero fornire assistenza agli enti pubblici mediante tecniche all'avanguardia, compreso su come strutturare e conservare al meglio i dati al fine di renderli facilmente accessibili, in particolare attraverso interfacce di programmazione delle applicazioni, nonché su come rendere i dati interoperabili, trasferibili e consultabili, tenendo conto delle migliori prassi per il trattamento dei dati, nonché di eventuali norme tecniche e di regolamentazione vigenti, e mediante ambienti di trattamento dei dati sicuri, che consentano modalità di analisi dei dati tali da preservare la riservatezza delle informazioni. Gli organismi competenti dovrebbero operare conformemente alle istruzioni ricevute dall'ente pubblico.

Tale struttura di assistenza potrebbe assistere gli interessati e i titolari dei dati nella gestione del consenso o nell'autorizzazione al riutilizzo, compreso per quanto riguarda il consenso e l'autorizzazione a taluni settori della ricerca scientifica laddove vi sia rispetto delle norme deontologiche riconosciute per la ricerca scientifica. Gli organismi competenti non dovrebbero avere funzioni di controllo, che sono riservate alle autorità di controllo a norma del regolamento (UE) 2016/679. Fatti salvi i poteri di controllo delle autorità per la protezione dei dati, il trattamento dei dati dovrebbe essere effettuato sotto la responsabilità dell'ente pubblico responsabile del registro che contiene i dati, che rimane un titolare del trattamento quale definito dal regolamento (UE) 2016/679 per quanto concerne i dati personali. Gli Stati membri dovrebbero poter disporre di uno o più organismi competenti, che potrebbero operare in settori diversi. I servizi interni degli enti pubblici potrebbero altresì fungere da organismi competenti. Un organismo competente potrebbe essere un ente pubblico che fornisce assistenza ad altri enti pubblici nell'autorizzare il riutilizzo dei dati, se del caso, o un ente pubblico che autorizza il riutilizzo stesso. Fornire assistenza ad altri enti pubblici dovrebbe significare informarli, su richiesta, riguardo alle migliori pratiche per soddisfare i requisiti stabiliti dal presente regolamento, ad esempio riguardo ai mezzi tecnici per rendere disponibile un ambiente di trattamento sicuro oppure per garantire la tutela della vita privata e la riservatezza quando è fornito accesso per il riutilizzo dei dati nell'ambito del presente regolamento.

(27)

Si prevede che i servizi di intermediazione dei dati svolgano un ruolo essenziale nell'economia dei dati, in particolare nel sostenere e promuovere pratiche volontarie di condivisione dei dati tra imprese o nell'agevolare la condivisione dei dati nell'ambito degli obblighi stabiliti dal diritto dell'Unione o nazionale. Essi potrebbero diventare strumenti che agevolano lo scambio di quantità considerevoli di dati pertinenti. I fornitori di servizi di intermediazione dei dati, che possono includere anche enti pubblici, che offrono servizi che collegano i diversi soggetti dispongono del potenziale per contribuire alla messa in comune efficiente dei dati come pure all'agevolazione della condivisione bilaterale dei dati. I servizi di intermediazione dei dati specializzati, che sono indipendenti dagli interessati, dai titolari dei dati e dagli utenti dei dati, potrebbero facilitare l'emergere di nuovi ecosistemi basati sui dati indipendenti da qualsiasi operatore che detenga un grado significativo di potere di mercato, prevedendo nel contempo un accesso non discriminatorio all'economia dei dati per le imprese di tutte le dimensioni, in particolare le PMI e le start-up con mezzi finanziari, giuridici o amministrativi limitati. Ciò sarà particolarmente importante nel contesto della creazione di spazi comuni europei di dati, ossia quadri interoperabili specifici o settoriali o intersettoriali di norme e prassi comuni per condividere o trattare congiuntamente i dati, anche ai fini dello sviluppo di nuovi prodotti e servizi, della ricerca scientifica o di iniziative della società civile. I servizi di intermediazione dei dati potrebbero includere la condivisione bilaterale o multilaterale dei dati o la creazione di piattaforme o banche dati che consentano la condivisione o l'utilizzo congiunto dei dati, nonché l'istituzione di un'infrastruttura specifica per l'interconnessione di interessati e titolari dei dati con gli utenti dei dati.

(28)

Il presente regolamento dovrebbe contemplare i servizi finalizzati a instaurare, attraverso strumenti tecnici, giuridici o di altro tipo, rapporti commerciali ai fini della condivisione dei dati tra un numero indeterminato di interessati e di titolari dei dati, da un lato, e gli utenti dei dati, dall'altro, anche per l'esercizio dei diritti degli interessati in relazione ai dati personali. Laddove le imprese e altri entità offrano molteplici servizi relativi ai dati, solo le attività che riguardano direttamente la fornitura di servizi di intermediazione dei dati sono contemplate dal presente regolamento. La fornitura di servizi di archiviazione sul cloud, di analisi, di software per la condivisione dei dati, di web browser, di plug-in per browser o di un servizio di posta elettronica non dovrebbe essere considerata fornitura di servizi di intermediazione dei dati ai sensi del presente regolamento a condizione che tali servizi si limitino alla messa a disposizione di strumenti tecnici per gli interessati o per i titolari dei dati ai fini della condivisione di dati con altri; tuttavia la fornitura di tali strumenti non mira né a instaurare un rapporto commerciale tra i titolari dei dati e gli utenti dei dati né a consentire al fornitore di servizi di intermediazione dei dati di acquisire informazioni in merito all'instaurazione del rapporto commerciale ai fini della condivisione dei dati. Tra gli esempi di servizi di intermediazione dei dati figurano i mercati dei dati su cui le imprese possono mettere dati a disposizione di terzi, gli orchestratori di ecosistemi di condivisione dei dati aperti a tutte le parti interessate, ad esempio nel contesto degli spazi comuni europei di dati, nonché i pool di dati creati congiuntamente da più persone fisiche o giuridiche con l'intento di concedere licenze per il loro uso a tutte le parti interessate in modo che tutti i partecipanti che contribuiscono al pool siano ricompensati per il loro contributo.

Ciò escluderebbe i servizi che ottengono dati dai titolari dei dati e li aggregano, arricchiscono o trasformano al fine di aggiungervi un valore sostanziale e concedono licenze per l'utilizzo dei dati risultanti agli utenti dei dati, senza instaurare un rapporto commerciale tra i titolari dei dati e gli utenti dei dati. Ciò escluderebbe altresì i servizi che sono utilizzati esclusivamente da un titolare dei dati per consentire l'utilizzo dei dati detenuti da tale titolare dei dati, oppure che sono utilizzati da varie persone giuridiche all'interno di un gruppo chiuso, anche nel quadro di rapporti con i fornitori o i clienti o di collaborazioni contrattualmente stabiliti, in particolare quelli aventi come obiettivo principale quello di garantire le funzionalità di oggetti o dispositivi connessi all'internet delle cose.

(29)

Il presente regolamento non dovrebbe riguardare i servizi il cui obiettivo principale è l'intermediazione di contenuti protetti da diritto d'autore, come i prestatori di servizi di condivisione di contenuti online quali definiti all'articolo 2, punto 6, della direttiva (UE) 2019/790. I «fornitori di un sistema consolidato di pubblicazione» quali definiti all'articolo 2, paragrafo 1, punto 35, del regolamento (UE) n. 600/2014 del Parlamento europeo e del Consiglio (27) e i «prestatori dei servizi di informazione sui conti» quali definiti all'articolo 4, punto 19, della direttiva (UE) 2015/2366 del Parlamento europeo e del Consiglio (28) non dovrebbero essere considerati fornitori di servizi di intermediazione dei dati ai fini del presente regolamento. Il presente regolamento non dovrebbe applicarsi ai servizi offerti da enti pubblici così da facilitare il riutilizzo di dati protetti, detenuti da diversi enti pubblici conformemente al presente regolamento, o l’utilizzo di eventuali altri dati, nella misura in cui tali servizi non abbiano l’intenzione di creare rapporti commerciali. Le organizzazioni per l'altruismo dei dati di cui al presente regolamento non dovrebbero essere considerate offrire servizi di intermediazione dei dati a condizione che tali servizi non creino un rapporto commerciale tra potenziali utenti dei dati, da un lato, e interessati e titolari dei dati che mettono a disposizione i dati per motivi altruistici, dall'altro. Altri servizi non finalizzati a instaurare rapporti commerciali, come i repository volti a consentire il riutilizzo dei dati della ricerca scientifica conformemente ai principi dell'accesso aperto, non dovrebbero essere considerati servizi di intermediazione dei dati ai sensi del presente regolamento.

(30)

Una categoria specifica di fornitori di servizi di intermediazione dei dati comprende i fornitori che offrono i loro servizi agli interessati. Tali fornitori di servizi di intermediazione dei dati cercano di rafforzare la capacità di agire degli interessati e, in particolare, il controllo dei singoli individui in merito ai dati che li riguardano. Tali fornitori assisterebbero i singoli individui nell'esercizio dei loro diritti a norma del regolamento (UE) 2016/679, in particolare gestendone la concessione e la revoca del consenso al trattamento dei dati, il diritto all'accesso ai propri dati, il diritto alla rettifica dei dati personali inesatti, il diritto alla cancellazione o «diritto all'oblio», il diritto alla limitazione del trattamento e il diritto alla portabilità dei dati, che consente agli interessati di trasferire i propri dati personali da un titolare del trattamento a un altro. In tale contesto, è importante che il modello commerciale di tali fornitori garantisca che non vi siano incentivi disallineati che incoraggino i singoli individui a utilizzare tali servizi per mettere a disposizione più dati che li riguardano di quanto non sia nel loro stesso interesse. Ciò potrebbe comprendere l'offerta di consulenza ai singoli individui quanto ai possibili utilizzi dei loro dati e il controllo della dovuta diligenza degli utenti dei dati prima che sia consentito loro di contattare gli interessati, al fine di evitare pratiche fraudolente. In alcune situazioni potrebbe essere auspicabile raccogliere dati reali in uno spazio di dati personali, affinché il trattamento possa aver luogo all'interno di tale spazio senza che i dati personali siano trasmessi a terzi, al fine di ottimizzare la protezione dei dati personali e della vita privata. Tali spazi di dati personali potrebbero contenere dati personali statici quali nome, indirizzo o data di nascita, nonché dati dinamici generati da una persona ad esempio con l'utilizzo di un servizio online o di un oggetto connesso all'internet delle cose. Potrebbero essere utilizzati anche per conservare informazioni verificate sull'identità quali i numeri di passaporto o informazioni sulla sicurezza sociale, nonché credenziali quali informazioni sulla patente di guida, diplomi o conti bancari.

(31)

Le cooperative di dati mirano a raggiungere una serie di obiettivi, in particolare a rafforzare la posizione dei singoli individui, affinché compiano scelte informate prima di acconsentire all'utilizzo dei dati, influenzando i termini e le condizioni, stabiliti dalle organizzazioni di utenti dei dati, cui è subordinato l'utilizzo dei dati, in modo da offrire scelte migliori ai singoli membri del gruppo, o trovando possibili soluzioni alle posizioni contrastanti dei singoli membri di un gruppo in merito alle modalità di utilizzo dei dati laddove tali dati riguardino più interessati all'interno di tale gruppo. In tale contesto è importante riconoscere che i diritti a norma del regolamento (UE) 2016/679 sono diritti personali dell'interessato e che quest'ultimo non può rinunciarvi. Le cooperative di dati potrebbero altresì rappresentare uno strumento utile per imprese individuali e PMI che, in termini di conoscenze in materia di condivisione dei dati, sono spesso equiparabili ai singoli individui.

(32)

Al fine di far crescere la fiducia in tali servizi di intermediazione dei dati, in particolare in relazione all'utilizzo dei dati e al rispetto delle condizioni imposte dagli interessati e dai titolari dei dati, è necessario istituire un quadro normativo a livello dell'Unione che definisca requisiti altamente armonizzati relativi alla fornitura affidabile di tali servizi di intermediazione dei dati e che sia attuato dalle autorità competenti. Tale quadro contribuirà a garantire che gli interessati nonché i titolari e gli utenti dei dati abbiano un maggiore controllo sull'accesso ai propri dati e sul loro utilizzo, conformemente al diritto dell'Unione. La Commissione potrebbe inoltre incoraggiare e facilitare l'elaborazione di codici di condotta a livello dell'Unione, coinvolgendo i pertinenti portatori di interessi, in particolare in materia di interoperabilità. Sia in situazioni in cui la condivisione di dati avviene tra due imprese sia quando ha luogo tra impresa e consumatore, i fornitori di servizi di intermediazione dei dati dovrebbero offrire una modalità nuova, «europea», di governance dei dati, garantendo una separazione, nell'economia dei dati, tra fornitura, intermediazione e utilizzo dei dati. I fornitori di servizi di intermediazione dei dati possono anche mettere a disposizione un'infrastruttura tecnica specifica per l'interconnessione di interessati e titolari dei dati con gli utenti dei dati. A tale proposito, è particolarmente importante configurare l'infrastruttura in modo tale che non vi siano ostacoli tecnici o di altro tipo che impediscano alle PMI e alle start-up di partecipare all'economia dei dati.

I fornitori di servizi di intermediazione dei dati dovrebbero essere autorizzati a offrire strumenti e servizi supplementari specifici ai titolari dei dati o agli interessati allo scopo specifico di facilitare lo scambio dei dati, come la conservazione temporanea, la cura, la conversione, l'anonimizzazione e la pseudonimizzazione. Tali strumenti e servizi dovrebbero essere utilizzati solo su richiesta o approvazione esplicita del titolare dei dati o dell'interessato e gli strumenti di terzi offerti in tale contesto non dovrebbero utilizzare i dati per altri scopi. Dovrebbe nel contempo essere consentito ai fornitori di servizi di intermediazione dei dati di adattare i dati scambiati, ad esempio convertendoli in formati specifici, per migliorarne l'usabilità dei dati per l'utente dei dati qualora quest'ultimo lo desideri, o migliorare l'interoperabilità.

(33)

È importante consentire un ambiente competitivo per la condivisione dei dati. Un elemento essenziale attraverso il quale aumentare la fiducia e il controllo dei titolari dei dati, interessati e utenti dei dati nei servizi di intermediazione dei dati è la neutralità dei fornitori di servizi di intermediazione dei dati riguardo ai dati scambiati tra titolari dei dati o interessati e utenti dei dati. È pertanto necessario che i fornitori di servizi di intermediazione dei dati agiscano solo in qualità di intermediari nelle transazioni e non utilizzino per nessun altro fine i dati scambiati. Le condizioni commerciali, compresa la fissazione dei prezzi, per la fornitura dei servizi di intermediazione dei dati non dovrebbero essere subordinate al fatto che un potenziale titolare dei dati o utente dei dati utilizzi altri servizi forniti dallo stesso fornitore di servizi di intermediazione dei dati o da un'entità collegata, tra cui l'archiviazione, l'analisi, l'intelligenza artificiale o altre applicazioni basate sui dati, e, in caso affermativo, dalla misura in cui il titolare dei dati o gli utenti dei dati utilizzino tali altri servizi. Ciò renderà altresì necessaria una separazione strutturale tra il servizio di intermediazione dei dati e qualsiasi altro servizio fornito, in modo tale da evitare conflitti di interessi. Ciò significa che il servizio di intermediazione dei dati dovrebbe essere fornito mediante una persona giuridica distinta dalle altre attività di tale fornitore di servizi di intermediazione dei dati. Tuttavia i fornitori di servizi di intermediazione dei dati dovrebbero poter utilizzare i dati forniti dal titolare dei dati per migliorare i loro servizi di intermediazione dei dati.

I fornitori di servizi di intermediazione dei dati dovrebbero essere in grado di mettere a disposizione dei titolari dei dati, degli interessati o degli utenti dei dati strumenti propri o di terzi al fine di agevolare lo scambio di dati, ad esempio strumenti per la conversione o la cura di dati, solamente su richiesta esplicita o con l'esplicita approvazione dell'interessato o del titolare dei dati. Gli strumenti di terzi offerti in tale contesto non dovrebbero utilizzare i dati per finalità diverse da quelle relative ai servizi di intermediazione dei dati. I fornitori di servizi di intermediazione dei dati che agiscono da intermediari tra i singoli individui, quali gli interessati, e le persone giuridiche, quali gli utenti dei dati, dovrebbero inoltre avere l'obbligo fiduciario nei confronti dei singoli individui di garantire che agiscono nel migliore interesse degli interessati. Le questioni concernenti la responsabilità per tutti i danni e pregiudizi materiali e immateriali derivanti da un comportamento del fornitore di servizi di intermediazione dei dati potrebbero essere affrontate nel pertinente contratto, sulla base dei regimi nazionali di responsabilità.

(34)

I fornitori di servizi di intermediazione dei dati dovrebbero adottare misure ragionevoli per garantire l'interoperabilità all'interno di un settore e tra settori diversi al fine di assicurare il corretto funzionamento del mercato interno. Le misure ragionevoli potrebbero comprendere il rispetto delle vigenti norme di uso comune nel settore in cui opera il fornitore di servizi di intermediazione dei dati. Il comitato europeo per l'innovazione in materia di dati dovrebbe agevolare l'emergere di ulteriori norme settoriali, ove necessario. I fornitori di servizi di intermediazione dei dati dovrebbero attuare tempestivamente le misure per l'interoperabilità tra servizi di intermediazione dei dati adottate dal comitato europeo per l'innovazione in materia di dati.

(35)

Il presente regolamento dovrebbe lasciare impregiudicati l'obbligo incombente ai fornitori di servizi di intermediazione dei dati di rispettare il regolamento (UE) 2016/679 e la responsabilità delle autorità di controllo di garantire il rispetto di tale regolamento. Qualora i fornitori di servizi di intermediazione dei dati trattino dati personali, il presente regolamento non dovrebbe pregiudicare la protezione degli stessi. Qualora siano titolari del trattamento o responsabili del trattamento dei dati quali definiti nel regolamento (UE) 2016/679, i fornitori di servizi di intermediazione dei dati sono vincolati dalle norme di tale regolamento.

(36)

Si prevede che i fornitori di servizi di intermediazione dei dati dispongano di procedure e misure tese a imporre sanzioni per le pratiche fraudolente o abusive in relazione ai soggetti che richiedono l'accesso tramite i loro servizi di intermediazione dei dati, anche attraverso misure quali l'esclusione degli utenti di dati che violano i termini del servizio o il diritto vigente.

(37)

È altresì opportuno che i fornitori di servizi di intermediazione dei dati adottino misure per garantire il rispetto del diritto della concorrenza e dispongano di procedure a tal fine. Ciò vale in particolare nelle situazioni in cui la condivisione dei dati consente alle imprese di venire a conoscenza delle strategie di mercato dei loro concorrenti effettivi o potenziali. Le informazioni sensibili sotto il profilo della concorrenza comprendono abitualmente le informazioni su dati dei clienti, prezzi futuri, costi di produzione, quantità, fatturato, vendite o capacità.

(38)

È opportuno istituire una procedura di notifica per i servizi di intermediazione dei dati al fine di garantire una governance dei dati all'interno dell'Unione basata su uno scambio di dati affidabile. I vantaggi di un ambiente affidabile sarebbero conseguiti al meglio mediante l'imposizione di una serie di requisiti per la fornitura di servizi di intermediazione dei dati, senza che sia tuttavia necessaria l'adozione di decisioni o di atti amministrativi espliciti da parte dell'autorità competente per i servizi di intermediazione dei dati per la fornitura di tali servizi. La procedura di notifica non dovrebbe porre indebiti ostacoli alle PMI, alle start-up e alle organizzazioni della società civile e dovrebbe rispettare il principio di non discriminazione.

(39)

Al fine di sostenere una fornitura transfrontaliera efficace dei servizi, è opportuno richiedere al fornitore di servizi di intermediazione dei dati l'invio di una notifica solo all'autorità competente per i servizi di intermediazione dei dati dello Stato membro in cui è situato il suo stabilimento principale o in cui si trova il suo rappresentante legale. Una tale notifica dovrebbe consistere in una semplice dichiarazione dell'intenzione di fornire tali servizi e dovrebbe essere completata solo fornendo le informazioni di cui al presente regolamento. A seguito della relativa notifica, il fornitore di servizi di intermediazione dei dati dovrebbe poter iniziare a operare in qualsiasi Stato membro senza ulteriori obblighi di notifica.

(40)

La procedura di notifica stabilita nel presente regolamento dovrebbe lasciare impregiudicate le norme supplementari specifiche in materia di fornitura di servizi di intermediazione dei dati applicabili mediante una normativa settoriale.

(41)

Lo stabilimento principale di un fornitore di servizi di intermediazione dei dati nell'Unione dovrebbe essere ove ha sede l'amministrazione centrale del fornitore nell'Unione. Lo stabilimento principale di un fornitore di servizi di intermediazione dei dati nell'Unione dovrebbe essere determinato in base a criteri oggettivi e implicare l'effettivo e reale svolgimento di attività di gestione. Le attività di un fornitore di servizi di intermediazione dei dati dovrebbero inoltre rispettare il diritto nazionale dello Stato membro in cui esso ha lo stabilimento principale.

(42)

Al fine di garantire il rispetto delle condizioni definite nel presente regolamento da parte dei fornitori di servizi di intermediazione dei dati, i fornitori di tali servizi dovrebbero avere il loro stabilimento principale nell'Unione. Qualora un fornitore di servizi di intermediazione dei dati non stabilito nell'Unione offra servizi nell'Unione, dovrebbe designare un rappresentante legale. La designazione di un rappresentante legale è necessaria in questi casi, poiché tali fornitori di servizi di intermediazione dei dati gestiscono sia dati personali sia dati commerciali riservati e ciò rende necessario il controllo ravvicinato del rispetto del presente regolamento da parte di tali fornitori di servizi di intermediazione dei dati. Per determinare se tale fornitore di servizi di intermediazione dei dati stia offrendo servizi nell'Unione, è opportuno verificare se risulta che il fornitore di servizi di intermediazione dei dati stia progettando di fornire servizi a persone in uno o più Stati membri. La mera accessibilità nell'Unione al sito web o a un indirizzo e-mail e ad altri dati di contatto del fornitore di servizi di intermediazione dei dati, o l'utilizzo di una lingua abitualmente utilizzata nel paese terzo in cui è stabilito il fornitore di servizi di intermediazione dei dati, non dovrebbero essere ritenuti sufficienti ad accertare tale intenzione. Tuttavia, fattori quali l'utilizzo di una lingua o di una valuta abitualmente utilizzata in uno o più Stati membri, con la possibilità di ordinare servizi in tale lingua, o la menzione di utenti che si trovano nell'Unione potrebbero evidenziare che il fornitore di servizi di intermediazione dei dati stia progettando di offrire servizi all'interno dell'Unione.

Un rappresentante legale designato dovrebbe agire a nome del fornitore di servizi di intermediazione dei dati e le autorità competenti per servizi di intermediazione dei dati dovrebbero avere la possibilità di contattare il rappresentante legale, oltre al fornitore di servizi di intermediazione dei dati o al suo posto, anche in caso di violazione, al fine di avviare un procedimento esecutivo contro un prestatore di servizi di intermediazione dei dati inadempiente non stabilito nell'Unione. Il rappresentante legale dovrebbe essere designato mediante mandato scritto del fornitore di servizi di intermediazione dei dati affinché agisca a suo nome con riguardo agli obblighi che a quest'ultimo derivano dal presente regolamento.

(43)

Al fine di aiutare gli interessati e i titolari a identificare facilmente i fornitori di servizi di intermediazione dei dati riconosciuti nell’Unione, e quindi ad avere maggiore fiducia in essi, occorre creare un logo comune riconoscibile in tutta l'Unione oltre al titolo di «fornitore di servizi di intermediazione dei dati riconosciuto nell'Unione».

(44)

Le autorità competenti per i servizi di intermediazione dei dati designate per monitorare la conformità dei fornitori di servizi di intermediazione dei dati ai requisiti del presente regolamento dovrebbero essere scelte in base alle loro capacità e competenze in materia di condivisione orizzontale o settoriale dei dati. Esse dovrebbero essere indipendenti da qualsiasi fornitore di servizi di intermediazione dei dati, nonché trasparenti e imparziali nello svolgimento dei loro compiti. Ciascuno Stato membro dovrebbe notificare alla Commissione l'identità di tali autorità competenti per i servizi di intermediazione dei dati. I poteri e le competenze delle autorità competenti per i servizi di intermediazione dei dati dovrebbero lasciare impregiudicati i poteri delle autorità per la protezione dei dati. In particolare, per qualsiasi questione che richieda la valutazione della conformità al regolamento (UE) 2016/679, l'autorità competente per i servizi di intermediazione dei dati dovrebbe, se del caso, chiedere all'autorità di controllo competente istituita a norma di tale regolamento di emettere un parere o una decisione.

(45)

L'utilizzo per obiettivi di interesse generale di dati messi a disposizione su base volontaria dagli interessati, sulla base del consenso informato di questi ultimi, o di dati non personali messi a disposizione dai titolari presenta grandi potenzialità. Tali obiettivi di interesse generale comprendono l'assistenza sanitaria, la lotta ai cambiamenti climatici, il miglioramento della mobilità, l'agevolazione dell'elaborazione, della produzione e della divulgazione di statistiche europee, il miglioramento della fornitura dei servizi pubblici, o delle politiche pubbliche. Anche il sostegno alla ricerca scientifica dovrebbe essere considerato un obiettivo di interesse generale. Il presente regolamento dovrebbe mirare a contribuire allo sviluppo di pool di dati messi a disposizione sulla base dell'altruismo dei dati, che abbiano dimensioni sufficienti da consentire l'analisi dei dati e l'apprendimento automatico, anche attraverso l'Unione. Per conseguire tale obiettivo, gli Stati membri dovrebbero poter avere disposizioni organizzative o tecniche, o entrambi, che agevolino l'altruismo dei dati. Tali disposizioni potrebbero includere la messa a disposizione degli interessati o dei titolari dei dati di strumenti di facile utilizzo per dare il consenso o l'autorizzazione all'uso altruistico dei loro dati, l'organizzazione di campagne di sensibilizzazione, o uno scambio strutturato tra le autorità competenti sui benefici dell'altruismo dei dati per le politiche pubbliche, ad esempio sul fronte del miglioramento del traffico, della salute pubblica e della lotta ai cambiamenti climatici). A tal fine, gli Stati membri dovrebbero poter definire politiche nazionali per l'altruismo dei dati. Gli interessati dovrebbero poter ricevere un compenso esclusivamente in relazione ai costi da loro sostenuti nel mettere a disposizione i propri dati per obiettivi di interesse generale.

(46)

La registrazione di organizzazioni per l’altruismo dei dati riconosciute e l’uso del titolo «organizzazione per l'altruismo dei dati riconosciuta nell'Unione» dovrebbe portare alla creazione di repository di dati. La registrazione in uno Stato membro sarebbe valida in tutta l'Unione, e dovrebbe agevolare l'utilizzo transfrontaliero dei dati all'interno dell'Unione e lo sviluppo di pool di dati riguardanti più Stati membri. I titolari dei dati potrebbero concedere l'autorizzazione al trattamento dei loro dati non personali per una serie di finalità non stabilite al momento di concedere l'autorizzazione. La conformità di tali organizzazioni per l'altruismo dei dati riconosciute con a una serie di requisiti stabiliti nel presente regolamento dovrebbe infondere fiducia quanto al fatto che i dati messi a disposizione a fini altruistici servano un obiettivo di interesse generale. A tale fiducia dovrebbero in particolare contribuire un luogo di stabilimento o un rappresentante legale all'interno dell'Unione, nonché il requisito che le organizzazioni per l'altruismo dei dati riconosciute non siano organizzazioni a scopo di lucro, gli obblighi di trasparenza e le tutele specifiche volte a proteggere i diritti e gli interessi degli interessati e delle imprese.

Ulteriori tutele dovrebbero comprendere la possibilità di trattare i dati pertinenti in un ambiente di trattamento sicuro gestito dalle organizzazioni per l'altruismo dei dati riconosciute, meccanismi di sorveglianza quali consigli o comitati etici, compresi i rappresentanti della società civile, per garantire che il titolare del trattamento mantenga standard elevati di etica scientifica e di protezione dei diritti fondamentali, strumenti tecnici efficaci e comunicati con chiarezza per revocare o modificare il consenso in qualsiasi momento, sulla base degli obblighi di informazione dei responsabili del trattamento dei dati a norma del regolamento (UE) 2016/679, nonché strumenti che consentano agli interessati di essere informati circa l'utilizzo dei dati che hanno messo a disposizione. La registrazione quale organizzazione per l'altruismo dei dati riconosciuta non dovrebbe essere un prerequisito per l'esercizio delle attività di altruismo dei dati. È opportuno che la Commissione elabori, mediante atti delegati, un codice in stretta cooperazione con le organizzazioni per l'altruismo dei dati e i portatori di interessi. Il rispetto di tale codice dovrebbe essere un requisito per la registrazione quali organizzazioni per l'altruismo dei dati riconosciute.

(47)

Al fine di aiutare gli interessati e i titolari a identificare facilmente le organizzazioni per l'altruismo dei dati riconosciute, e quindi ad avere maggiore fiducia in esse, occorre creare un logo comune riconoscibile in tutta l'Unione. Il logo comune dovrebbe essere accompagnato da un codice QR con un link al registro pubblico dell'Unione delle organizzazioni per l'altruismo dei dati riconosciute.

(48)

Il presente regolamento non dovrebbe pregiudicare l'istituzione, l'organizzazione e il funzionamento di entità che intendono impegnarsi nell'ambito dell'altruismo dei dati a norma del diritto nazionale e che si basa sui requisiti imposti del diritto nazionale per operare in modo legale in uno Stato membro in qualità di organizzazione senza scopo di lucro.

(49)

Il presente regolamento non dovrebbe pregiudicare l'istituzione, l'organizzazione e il funzionamento di entità diverse dagli enti pubblici che praticano la condivisione dei dati e dei contenuti sulla base di licenze aperte, contribuendo quindi alla creazione di risorse comuni a disposizione di tutti. Dovrebbero essere comprese le piattaforme aperte e collaborative di condivisione delle conoscenze, i repository scientifici e accademici ad accesso aperto, le piattaforme di sviluppo di software open source e le piattaforme di aggregazione di contenuti ad accesso aperto.

(50)

Le organizzazioni per l'altruismo dei dati riconosciute dovrebbero poter raccogliere dati pertinenti direttamente da persone fisiche e giuridiche o trattare dati raccolti da terzi. Il trattamento dei dati raccolti potrebbe essere effettuato da organizzazioni per l'altruismo dei dati per finalità da esse stesse stabilite oppure, se del caso, esse potrebbero acconsentire al trattamento da parte di terzi per tali finalità. Qualora siano titolari del trattamento o responsabili del trattamento dei dati ai sensi del regolamento (UE) 2016/679, le organizzazioni per l'altruismo dei dati riconosciute dovrebbero rispettare le norme di tale regolamento. L'altruismo dei dati sarebbe basato in genere sul consenso degli interessati ai sensi dell'articolo 6, paragrafo 1, lettera a), e dell'articolo 9, paragrafo 2, lettera a), del regolamento (UE) 2016/679, che dovrebbe rispettare i requisiti per il consenso lecito conformemente agli articoli 7 e 8 di tale regolamento. A norma del regolamento (UE) 2016/679, le finalità di ricerca scientifica potrebbero essere sostenute dal consenso in determinati settori di ricerca scientifica, laddove vi sia rispetto delle norme deontologiche riconosciute per la ricerca scientifica, o soltanto a determinati settori di ricerca o parti di progetti di ricerca. L'articolo 5, paragrafo 1, lettera b), del regolamento (UE) 2016/679 specifica che un ulteriore trattamento a fini di ricerca scientifica o storica o a fini statistici non è, conformemente all'articolo 89, paragrafo 1, del regolamento (UE) 2016/679, considerato incompatibile con le finalità iniziali. Per i dati non personali, i limiti di utilizzo dovrebbero essere indicati nell'autorizzazione concessa dal titolare dei dati.

(51)

Le autorità competenti per la registrazione delle organizzazioni per l'altruismo dei dati designate per monitorare la conformità delle organizzazioni per l'altruismo dei dati riconosciute ai requisiti del presente regolamento dovrebbero essere scelte in base alle loro capacità e competenze. Esse dovrebbero essere indipendenti da qualsiasi organizzazione per l'altruismo dei dati, nonché trasparenti e imparziali nello svolgimento dei loro compiti. Ciascuno Stato membro dovrebbe notificare alla Commissione l'identità di tali autorità competenti per la registrazione delle organizzazioni per l'altruismo dei dati. I poteri e le competenze delle autorità competenti per la registrazione delle organizzazioni per l'altruismo dei dati dovrebbero lasciare impregiudicati i poteri delle autorità per la protezione dei dati. In particolare, per qualsiasi questione che richieda la valutazione della conformità al regolamento (UE) 2016/679, l'autorità competente per la registrazione delle organizzazioni per l'altruismo dei dati dovrebbe, se del caso, chiedere all'autorità di controllo competente istituita a norma di tale regolamento di emettere un parere o una decisione.

(52)

Per promuovere la fiducia e conferire ulteriore certezza giuridica e facilità d'uso alla procedura di concessione e revoca del consenso, in particolare nel contesto dell'utilizzo a fini statistici e di ricerca scientifica di dati messi a disposizione su base altruistica, è opportuno elaborare e utilizzare nel contesto della condivisione di dati su base altruistica un modulo europeo di consenso all'altruismo dei dati. Tale modulo dovrebbe contribuire a garantire agli interessati una maggiore trasparenza in merito all'accesso ai loro dati e all'utilizzo degli stessi in conformità al consenso da loro espresso nonché nel pieno rispetto delle norme in materia di protezione dei dati. Esso dovrebbe altresì facilitare la concessione e la revoca del consenso ed essere utilizzato per ottimizzare le attività di altruismo dei dati effettuate dalle imprese e fornire un meccanismo che consenta a queste ultime di revocare la loro autorizzazione all'utilizzo dei dati. È opportuno che il modulo europeo di consenso all'altruismo dei dati utilizzi un approccio modulare che ne consenta la personalizzazione in funzione di settori specifici e finalità diverse affinché sia possibile tenere conto delle specificità dei singoli settori, anche in termini di protezione dei dati.

(53)

Al fine di attuare con successo il quadro di governance dei dati, è opportuno istituire un comitato europeo per l'innovazione in materia di dati sotto forma di un gruppo di esperti. Il comitato europeo per l'innovazione in materia di dati dovrebbe essere costituito da rappresentanti delle autorità competenti per i servizi di intermediazione dei dati e dalle autorità competenti per la registrazione delle organizzazioni per l'altruismo dei dati di tutti gli Stati membri, del comitato europeo per la protezione dei dati, del garante europeo della protezione dei dati, dell'Agenzia dell'Unione europea per la cibersicurezza (ENISA), della Commissione, nonché dal rappresentante dell'UE per le PMI o da un rappresentante nominato dalla rete dei rappresentanti per le PMI e da altri rappresentanti di organi pertinenti di settori specifici e di organi con competenze specifiche. Il comitato europeo per l'innovazione in materia di dati dovrebbe essere composto da un certo numero di sottogruppi, compreso un sottogruppo per il coinvolgimento dei portatori di interessi composto da rappresentanti pertinenti delle imprese, quali sanità, ambiente, agricoltura, trasporti, energia, produzione industriale, media, settori culturali e creativi e statistica, come pure del mondo accademico, della ricerca, della società civile, delle organizzazioni di normazione, dei pertinenti spazi comuni europei dei dati e altri portatori di interessi e terzi, tra cui gli organismi con competenze specifiche, quali gli istituti nazionali di statistica.

(54)

Il comitato europeo per l'innovazione in materia di dati dovrebbe assistere la Commissione nel coordinare le pratiche e le politiche nazionali sui temi contemplati dal presente regolamento e nel sostenere l'utilizzo intersettoriale dei dati aderendo ai principi del quadro europeo di interoperabilità e utilizzando norme e specifiche europee e internazionali, anche attraverso la piattaforma multilaterale per la normazione delle TIC, i Core Vocabularies e i Building Blocks del meccanismo per collegare l'Europa, e dovrebbe tener conto delle attività di normazione in corso in settori o ambiti specifici. Le attività di normazione tecnica potrebbero comprendere l'individuazione di priorità per l'elaborazione di norme e l'istituzione e il mantenimento di una serie di norme tecniche e giuridiche per la trasmissione di dati tra due ambienti di trattamento che renda possibile l'organizzazione degli spazi di dati, in particolare nel chiarire e distinguere le norme e le pratiche intersettoriali da quelle settoriali. È opportuno che il comitato europeo per l'innovazione in materia di dati collabori con organismi, reti o gruppi di esperti settoriali o con altre organizzazioni intersettoriali che si occupano del riutilizzo dei dati. Per quanto concerne l'altruismo dei dati, il comitato europeo per l'innovazione in materia di dati dovrebbe assistere la Commissione nell'elaborazione del modulo di consenso, previa consultazione con il comitato europeo per la protezione dei dati. Proponendo orientamenti sugli spazi comuni europei di dati, il comitato europeo per l'innovazione in materia di dati dovrebbe sostenere lo sviluppo di un'economia dei dati europea funzionante basata su tali spazi, come indicato nella strategia europea dei dati.

(55)

Gli Stati membri dovrebbero stabilire norme in materia di sanzioni applicabili alle violazioni del presente regolamento e adottare tutte le misure necessarie per garantirne l'applicazione. Le sanzioni previste dovrebbero essere effettive, proporzionate e dissuasive. Discrepanze sostanziali tra le norme in materia di sanzioni potrebbero portare a una distorsione della concorrenza nel mercato unico digitale. L'armonizzazione di tali norme potrebbe essere utile a tal riguardo.

(56)

Al fine di provvedere a un'efficiente applicazione del presente regolamento e garantire che i fornitori di servizi di intermediazione dei dati e le entità che desiderano registrarsi come organizzazioni per l'altruismo dei dati riconosciute siano in grado di accedere ed espletare le procedure di notifica e registrazione interamente in linea e in modo transfrontaliero, tali procedure dovrebbero essere offerte attraverso lo sportello digitale unico istituito a norma del regolamento (UE) 2018/1724 del Parlamento europeo e del Consiglio (29). Tali procedure dovrebbero essere aggiunte all'elenco delle procedure riportato nell'allegato II del regolamento (UE) 2018/1724.

(57)

È pertanto opportuno modificare di conseguenza il regolamento (UE) 2018/1724.

(58)

Al fine di garantire l'efficacia del presente regolamento, è opportuno delegare alla Commissione il potere di adottare atti conformemente all'articolo 290 TFUE, onde integrare il presente regolamento stabilendo, in specifici atti legislativi dell'Unione, condizioni speciali applicabili ai trasferimenti a paesi terzi di alcune categorie di dati non personali ritenuti altamente sensibili e istituendo un codice per le organizzazioni per l'altruismo dei dati riconosciute cui tali organizzazioni devono conformarsi, che stabilisca requisiti di informazione, tecnici e di sicurezza, nonché tabelle di marcia per la comunicazione e norme di interoperabilità. È di particolare importanza che durante i lavori preparatori la Commissione svolga adeguate consultazioni, anche a livello di esperti, nel rispetto dei principi stabiliti nell'accordo interistituzionale «Legiferare meglio» del 13 aprile 2016 (30). In particolare, al fine di garantire la parità di partecipazione alla preparazione degli atti delegati, il Parlamento europeo e il Consiglio ricevono tutti i documenti contemporaneamente agli esperti degli Stati membri, e i loro esperti hanno sistematicamente accesso alle riunioni dei gruppi di esperti della Commissione incaricati della preparazione di tali atti delegati.

(59)

Al fine di garantire condizioni uniformi di esecuzione del presente regolamento, dovrebbero essere attribuite alla Commissione competenze di esecuzione per assistere gli enti pubblici e i riutilizzatori a rispettare le condizioni di riutilizzo stabilite nel presente regolamento, stabilendo clausole contrattuali tipo relative al trasferimento di dati non personali a un paese terzo da parte dei riutilizzatori, per dichiarare che le disposizioni legislative, di controllo e in materia di applicazione della normativa di un paese terzo sono equivalenti alla tutela garantita dal diritto dell'Unione, per sviluppare il disegno del logo comune per i fornitori di servizi di intermediazione dei dati e del logo comune per le organizzazioni per l'altruismo dei dati riconosciute, e per stabilire ed elaborare il modulo europeo di consenso all'altruismo dei dati. È opportuno che tali competenze siano esercitate conformemente al regolamento (UE) n. 182/2011 del Parlamento europeo e del Consiglio (31).

(60)

Il presente regolamento non dovrebbe incidere sull'applicazione delle norme in materia di concorrenza, in particolare gli articoli 101 e 102 TFUE. Le misure previste dal presente regolamento non dovrebbero essere utilizzate per limitare la concorrenza in maniera contraria al TFUE. Tale aspetto riguarda in particolare le norme sullo scambio di informazioni sensibili dal punto di vista della concorrenza attraverso servizi di intermediazione dei dati tra concorrenti effettivi o potenziali.

(61)

Il garante europeo della protezione dei dati e il comitato europeo per la protezione dei dati sono stati consultati a norma dell'articolo 42, paragrafo 1, del regolamento (UE) 2018/1725 e hanno emesso i loro pareri il 10 marzo 2021.

(62)

Il presente regolamento segue come principi guida il rispetto dei diritti fondamentali e i principi riconosciuti in particolare dalla Carta dei diritti fondamentali dell'Unione europea, compresi il diritto alla vita privata, la protezione dei dati personali, la libertà di impresa, il diritto di proprietà e il diritto all'inserimento delle persone con disabilità. Nel contesto di quest'ultimo, è opportuno che gli enti pubblici e i servizi di cui al presente regolamento si conformino, se del caso, alle direttive (UE) 2016/2102 (32) e (UE) 2019/882 (33) del Parlamento europeo e del Consiglio. È inoltre opportuno tenere conto della «progettazione per tutti» nel contesto delle tecnologie dell'informazione e della comunicazione, vale a dire lo sforzo consapevole e sistematico di applicare in modo proattivo principi, metodi e strumenti per promuovere la progettazione universale nelle tecnologie informatiche, comprese le tecnologie basate su internet, evitando in tal modo la necessità di adattamenti a posteriori o di una progettazione specializzata.

(63)

Poiché gli obiettivi del presente regolamento, ossia il riutilizzo, all'interno dell'Unione, di determinate categorie di dati detenuti da enti pubblici, nonché l'istituzione di un quadro di notifica e controllo per la fornitura di servizi di intermediazione dei dati e di un quadro per la registrazione volontaria delle entità che mettono i dati a disposizione a fini altruistici e di un quadro per l’istituzione di un comitato europeo per l'innovazione in materia di dati, non possono essere conseguiti in misura sufficiente dagli Stati membri ma, a motivo della loro portata e dei loro effetti, possono essere conseguiti meglio a livello di Unione, quest'ultima può intervenire in base al principio di sussidiarietà sancito dall'articolo 5 del trattato sull'Unione europea. Il presente regolamento si limita a quanto è necessario per conseguire tali obiettivi in ottemperanza al principio di proporzionalità enunciato nello stesso articolo,

HANNO ADOTTATO IL PRESENTE REGOLAMENTO:

CAPO I

Disposizioni generali

Articolo 1

Oggetto e ambito di applicazione

1.   Il presente regolamento stabilisce:

a)

le condizioni per il riutilizzo, all'interno dell'Unione, di determinate categorie di dati detenuti da enti pubblici;

b)

un quadro di notifica e controllo per la fornitura di servizi di intermediazione dei dati;

c)

un quadro per la registrazione volontaria delle entità che raccolgono e trattano i dati messi a disposizione a fini altruistici; e

d)

un quadro per l'istituzione di un comitato europeo per l'innovazione in materia di dati.

2.   Il presente regolamento non crea, per gli enti pubblici, alcun obbligo di consentire il riutilizzo dei dati, né esenta gli enti pubblici dai loro obblighi di riservatezza ai sensi del diritto dell'Unione o nazionale.

Il presente regolamento non pregiudica:

a)

le disposizioni specifiche contenute nel diritto dell'Unione o nazionale in materia di accesso a determinate categorie di dati o di riutilizzo degli stessi, in particolare riguardo la concessione dell'accesso a documenti ufficiali e la loro divulgazione; e

b)

gli obblighi degli enti pubblici a norma del diritto dell'Unione o nazionale di consentire il riutilizzo dei dati o i requisiti relativi al trattamento dei dati non personali.

Qualora una normativa settoriale dell'Unione o nazionale imponga agli enti pubblici, ai fornitori di servizi di intermediazione dei dati o alle organizzazioni per l'altruismo dei dati riconosciute di rispettare specifici requisiti tecnici, amministrativi o organizzativi aggiuntivi, anche attraverso un regime di autorizzazione o certificazione, si applicano anche le pertinenti disposizioni di tale normativa settoriale dell'Unione o nazionale. Eventuali requisiti specifici aggiuntivi sono non discriminatori, proporzionati e oggettivamente giustificati.

3.   Il diritto dell'Unione e nazionale in materia di protezione dei dati personali si applica a qualsiasi dato personale trattato in relazione al presente regolamento. In particolare, il presente regolamento non pregiudica i regolamenti (UE) 2016/679 e (UE) 2018/1725 e le direttive 2002/58/CE e (UE) 2016/680, anche per quando riguarda i poteri e le competenze delle autorità di controllo. In caso di conflitto tra il presente regolamento e il diritto dell'Unione in materia di protezione dei dati personali o il diritto nazionale adottato conformemente a tale diritto dell'Unione, prevale il pertinente diritto dell'Unione o nazionale in materia di protezione dei dati personali. Il presente regolamento non crea una base giuridica per il trattamento dei dati personali e non influisce sui diritti e sugli obblighi di cui ai regolamenti (UE) 2016/679 e (UE) 2018/1725 o alle direttive 2002/58/CE o (UE) 2016/680.

4.   Il presente regolamento lascia impregiudicata l'applicazione del diritto della concorrenza.

5.   Il presente regolamento lascia impregiudicate le competenze degli Stati membri per quanto riguarda le loro attività in materia di sicurezza pubblica, difesa e sicurezza nazionale.

Articolo 2

Definizioni

Ai fini del presente regolamento si applicano le definizioni seguenti:

1)

«dati»: qualsiasi rappresentazione digitale di atti, fatti o informazioni e qualsiasi raccolta di tali atti, fatti o informazioni, anche sotto forma di registrazione sonora, visiva o audiovisiva;

2)

«riutilizzo»: l'utilizzo di dati in possesso di enti pubblici da parte di persone fisiche o giuridiche a fini commerciali o non commerciali diversi dallo scopo iniziale nell'ambito dei compiti di servizio pubblico per i quali i dati sono stati prodotti, fatta eccezione per lo scambio di dati tra enti pubblici esclusivamente in adempimento dei loro compiti di servizio pubblico;

3)

«dati personali»: i dati personali quali definiti all'articolo 4, punto 1, del regolamento (UE) 2016/679;

4)

«dati non personali»: i dati diversi dai dati personali;

5)

«consenso»: consenso quale definito all'articolo 4, punto 11, del regolamento (UE) 2016/679;

6)

«autorizzazione»: il conferimento agli utenti dei dati del diritto al trattamento dei dati non personali;

7)

«interessato»: l'interessato ai sensi dell'articolo 4, punto 1, del regolamento (UE) 2016/679;

8)

«titolare dei dati»: una persona giuridica, compresi gli enti pubblici e le organizzazioni internazionali, o una persona fisica che non è l'interessato rispetto agli specifici dati in questione e che, conformemente al diritto dell'Unione o nazionale applicabile, ha il diritto di concedere l'accesso a determinati dati personali o dati non personali o di condividerli;

9)

«utente dei dati»: una persona fisica o giuridica che ha accesso legittimo a determinati dati personali o non personali e che ha diritto, anche a norma del regolamento (UE) 2016/679 in caso di dati personali, a utilizzare tali dati a fini commerciali o non commerciali;

10)

«condivisione dei dati»: la fornitura di dati da un interessato o un titolare dei dati a un utente dei dati ai fini dell'utilizzo congiunto o individuale di tali dati, sulla base di accordi volontari o del diritto dell'Unione o nazionale, direttamente o tramite un intermediario, ad esempio nel quadro di licenze aperte o commerciali, dietro compenso o a titolo gratuito;

11)

«servizio di intermediazione dei dati»: un servizio che mira a instaurare, attraverso strumenti tecnici, giuridici o di altro tipo, rapporti commerciali ai fini della condivisione dei dati tra un numero indeterminato di interessati e di titolari dei dati, da un lato, e gli utenti dei dati, dall'altro, anche al fine dell'esercizio dei diritti degli interessati in relazione ai dati personali, ad esclusione almeno di:

a)

servizi che ottengono dati dai titolari dei dati e li aggregano, arricchiscono o trasformano al fine di aggiungervi un valore sostanziale e concedono licenze per l'utilizzo dei dati risultanti agli utenti dei dati, senza instaurare un rapporto commerciale tra i titolari dei dati e gli utenti dei dati;

b)

servizi il cui obiettivo principale è l'intermediazione di contenuti protetti da diritto d'autore;

c)

servizi utilizzati esclusivamente da un titolare dei dati per consentire l'utilizzo dei dati detenuti da tale titolare dei dati, oppure utilizzati da varie persone giuridiche all'interno di un gruppo chiuso, anche nel quadro di rapporti con i fornitori o i clienti o di collaborazioni contrattualmente stabilite, in particolare quelli aventi come obiettivo principale quello di garantire la funzionalità di oggetti o dispositivi connessi all'internet delle cose;

d)

servizi di condivisione dei dati offerti da enti pubblici che non mirano a instaurare rapporti commerciali;

12)

«trattamento»: il trattamento quale definito all'articolo 4, punto 2, del regolamento (UE) 2016/679 in materia di dati personali o all'articolo 3, punto (2), del Regolamento (UE) 2018/1807 in materia di dati non personali;

13)

«accesso»: l'utilizzo dei dati, conformemente a specifici requisiti tecnici, giuridici o organizzativi, che non implica necessariamente la trasmissione o lo scaricamento di dati;

14)

«stabilimento principale» di una persona giuridica: il luogo in cui è stabilita la sua amministrazione centrale nell'Unione;

15)

«servizi di cooperative di dati»: servizi di intermediazione dei dati offerti da una struttura organizzativa costituita da interessati, imprese individuali o da PMI, che sono membri di tale struttura, avente come obiettivi principali quelli di aiutare i propri membri nell'esercizio dei loro diritti in relazione a determinati dati, anche per quanto riguarda il compiere scelte informate prima di acconsentire al trattamento dei dati, di procedere a uno scambio di opinioni sulle finalità e sulle condizioni del trattamento dei dati che rappresenterebbero al meglio gli interessi dei propri membri in relazione ai loro dati, o di negoziare i termini e le condizioni per il trattamento dei dati per conto dei membri prima di concedere l'autorizzazione al trattamento dei dati non personali o prima che essi diano il loro consenso al trattamento dei dati personali;

16)

«altruismo dei dati»: la condivisione volontaria di dati sulla base del consenso accordato dagli interessati al trattamento dei dati personali che li riguardano, o sulle autorizzazioni di altri titolari dei dati volte a consentire l'uso dei loro dati non personali, senza la richiesta o la ricezione di un compenso che vada oltre la compensazione dei costi sostenuti per mettere a disposizione i propri dati, per obiettivi di interesse generale, stabiliti nel diritto nazionale, ove applicabile, quali l'assistenza sanitaria, la lotta ai cambiamenti climatici, il miglioramento della mobilità, l'agevolazione dell'elaborazione, della produzione e della divulgazione di statistiche ufficiali, il miglioramento della fornitura dei servizi pubblici, l'elaborazione delle politiche pubbliche o la ricerca scientifica nell'interesse generale;

17)

«ente pubblico»: le autorità statali, regionali o locali, gli organismi di diritto pubblico o le associazioni formate da una o più di tali autorità oppure da uno o più di tali organismi di diritto pubblico;

18)

«organismi di diritto pubblico»: gli organismi che hanno le caratteristiche seguenti:

a)

sono istituiti per soddisfare specificatamente bisogni d'interesse generale e non hanno carattere industriale o commerciale;

b)

sono dotati di personalità giuridica;

c)

le loro attività sono finanziate in modo maggioritario dallo Stato, da autorità regionali o locali o da altri organismi di diritto pubblico, o la loro gestione è soggetta alla supervisione da parte di tali autorità o organismi, oppure sono dotati di un organo di amministrazione, di direzione o di vigilanza in cui più della metà dei membri è designata dallo Stato, da autorità regionali o locali o da altri organismi di diritto pubblico;

19)

«impresa pubblica»: qualsiasi impresa su cui gli enti pubblici possono esercitare, direttamente o indirettamente, un'influenza dominante perché ne sono proprietari, vi hanno una partecipazione finanziaria, o in virtù di norme che disciplinano l'impresa in questione; ai fini della presente definizione si presume un'influenza dominante in uno qualsiasi dei seguenti casi in cui tali enti, direttamente o indirettamente:

a)

detengono la maggioranza del capitale sottoscritto dall'impresa;

b)

controllano la maggioranza dei voti cui danno diritto le azioni emesse dall'impresa;

c)

possono designare più della metà dei membri dell'organo di amministrazione, di direzione o di vigilanza dell'impresa;

20)

«ambiente di trattamento sicuro»: l'ambiente fisico o virtuale e i mezzi organizzativi per garantire la conformità al diritto dell'Unione, quale il regolamento (UE) 2016/679, in particolare per quanto riguarda i diritti degli interessati, i diritti di proprietà intellettuale e la riservatezza commerciale e statistica, l'integrità e l'accessibilità, per garantire il rispetto del diritto dell'Unione e nazionale applicabile, e per consentire all'entità che fornisce l'ambiente di trattamento sicuro di determinare e controllare tutte le azioni di trattamento dei dati, compresi la visualizzazione, la conservazione, lo scaricamento, l'esportazione dei dati e il calcolo dei dati derivati mediante algoritmi computazionali;

21)

«rappresentante legale»: una persona fisica o giuridica stabilita nell'Unione esplicitamente designata ad agire per conto di un fornitore di servizi di intermediazione dei dati non stabilito nell'Unione o di un'entità non stabilita nell'Unione che raccoglie dati per obiettivi di interesse generale messi a disposizione da persone fisiche o giuridiche sulla base dell'altruismo dei dati, che può essere interpellata dalle autorità nazionali competenti per i servizi di intermediazione dei dati e dalle autorità competenti per la registrazione delle organizzazioni per l'altruismo dei dati in aggiunta o in sostituzione del fornitore di servizi di intermediazione dei dati o dell'entità in relazione agli obblighi a norma del presente regolamento, anche per quanto riguarda l'avvio di un procedimento esecutivo contro un prestatore di servizi di intermediazione dei dati o un'entità inadempiente non stabilito nell'Unione.

CAPo II

Riutilizzo di determinate categorie di dati protetti detenuti da enti pubblici

Articolo 3

Categorie di dati

1.   Il presente capo si applica ai dati detenuti da enti pubblici, che sono protetti per motivi di:

a)

riservatezza commerciale, compresi i segreti commerciali, professionali o d'impresa;

b)

riservatezza statistica;

c)

protezione dei diritti di proprietà intellettuale di terzi; o

d)

protezione dei dati personali, nella misura in cui tali dati non rientrano nell'ambito di applicazione della direttiva (UE) 2019/1024.

2.   Il presente capo non si applica:

a)

ai dati detenuti da imprese pubbliche;

b)

ai dati detenuti dalle emittenti di servizio pubblico e dalle società da esse controllate e da altri organismi o relative società controllate per l'adempimento di un compito di radiodiffusione di servizio pubblico;

c)

ai dati detenuti da enti culturali e di istruzione;

d)

ai dati detenuti da enti pubblici e protetti per motivi di pubblica sicurezza, difesa o sicurezza nazionale; o

e)

ai dati la cui fornitura è un'attività che esula dall'ambito dei compiti di servizio pubblico degli enti pubblici in questione, quali definiti dal diritto o da altre norme vincolanti nello Stato membro interessato o, in mancanza di tali norme, quali definiti in conformità delle comuni prassi amministrative in tale Stato membro, a condizione che l'ambito di detti compiti sia trasparente e soggetto a revisione.

3.   Il presente capo lascia impregiudicati:

a)

il diritto dell'Unione e nazionale e gli accordi internazionali di cui l'Unione o gli Stati membri sono parte in relazione alla protezione delle categorie di dati di cui al paragrafo 1; e

b)

il diritto dell'Unione e nazionale in materia di accesso ai documenti.

Articolo 4

Divieto di accordi di esclusiva

1.   Sono vietati gli accordi o altre pratiche relativi al riutilizzo di dati detenuti da enti pubblici e comprendenti le categorie di dati di cui all'articolo 3, paragrafo 1, che concedono diritti esclusivi o che hanno per oggetto o per effetto di concedere tali diritti esclusivi o di limitare la disponibilità di dati per il riutilizzo da parte di entità diverse dalle parti di tali accordi o altre pratiche.

2.   In deroga al paragrafo 1, può essere concesso un diritto esclusivo di riutilizzo dei dati di cui a tale paragrafo nella misura necessaria alla fornitura di un servizio o di un prodotto di interesse generale che non sarebbe altrimenti possibile.

3.   Un diritto esclusivo di cui al paragrafo 2 è accordato mediante atto amministrativo o accordo contrattuale a norma del diritto dell'Unione o nazionale applicabile e nel rispetto dei principi di trasparenza, parità di trattamento e non discriminazione.

4.   La durata del diritto esclusivo di riutilizzo dei dati non supera i 12 mesi. Ove si concluda un contratto, la durata del contratto è la stessa della durata del diritto esclusivo.

5.   La concessione di un diritto esclusivo a norma dei paragrafi 2, 3 e 4, compresi i motivi per cui è necessario concedere tale diritto, è trasparente ed è resa pubblica online, in una forma conforme al pertinente diritto dell'Unione in materia di appalti pubblici.

6.   Agli accordi o alle altre pratiche che rientrano nell'ambito di applicazione del divieto di cui al paragrafo 1, che non soddisfano le condizioni di cui ai paragrafi 2 e 3 e che sono stati conclusi prima del 23 giugno 2022 è posto termine alla scadenza del contratto applicabile e comunque entro il 24 dicembre 2024.

Articolo 5

Condizioni per il riutilizzo

1.   Gli enti pubblici che, a norma del diritto nazionale, hanno facoltà di concedere o negare l'accesso per il riutilizzo di una o più delle categorie di dati di cui all'articolo 3, paragrafo 1, rendono pubbliche le condizioni per consentire tale riutilizzo nonché la procedura di richiesta del riutilizzo attraverso lo sportello unico di cui all'articolo 8. Qualora concedano o neghino l'accesso per il riutilizzo, possono essere assistiti dagli organismi competenti di cui all'articolo 7, paragrafo 1.

Gli Stati membri garantiscono che gli enti pubblici siano dotati delle necessarie risorse per conformarsi al presente articolo.

2.   Le condizioni per il riutilizzo sono non discriminatorie, trasparenti, proporzionate e oggettivamente giustificate in relazione alle categorie di dati e alle finalità del riutilizzo e alla natura dei dati per i quali è consentito il riutilizzo. Tali condizioni non sono utilizzate per limitare la concorrenza.

3.   Gli enti pubblici garantiscono, conformemente al diritto dell'Unione e nazionale, la tutela della natura protetta dei dati. Essi garantiscono il rispetto dei requisiti seguenti:

a)

concedere l'accesso per il riutilizzo dei dati soltanto qualora l'ente pubblico o l'organismo competente abbia garantito, in seguito alla richiesta di riutilizzo, che i dati sono stati:

i)

anonimizzati, nel caso di dati personali; e

ii)

modificati, aggregati o trattati mediante qualsiasi altro metodo di controllo della divulgazione, nel caso di informazioni commerciali riservate, compresi i segreti commerciali o i contenuti protetti da diritti di proprietà intellettuale;

b)

accedere ai dati e riutilizzare gli stessi da remoto all'interno di un ambiente di trattamento sicuro, fornito o controllato dall'ente pubblico;

c)

accedere ai dati e riutilizzare gli stessi all'interno dei locali fisici in cui si trova l'ambiente di trattamento sicuro, rispettando rigorose norme di sicurezza, a condizione che l'accesso remoto non possa essere consentito senza compromettere i diritti e gli interessi di terzi.

4.   In caso di riutilizzo consentito conformemente al paragrafo 3, lettere b) e c), gli enti pubblici impongono condizioni che preservino l'integrità del funzionamento dei sistemi tecnici dell'ambiente di trattamento sicuro utilizzato. L'ente pubblico si riserva il diritto di verificare il processo, i mezzi e i risultati del trattamento dei dati effettuato dal riutilizzatore per tutelare l'integrità della protezione dei dati come anche il diritto di vietare l'uso dei risultati che contengono informazioni che compromettono i diritti e gli interessi di terzi. La decisione di vietare il riutilizzo dei risultati è comprensibile e trasparente per il riutilizzatore.

5.   A meno che il diritto nazionale preveda tutele specifiche sugli obblighi di riservatezza applicabili relativi al riutilizzo dei dati di cui all'articolo 3, paragrafo 1, l'ente pubblico subordina il riutilizzo dei dati forniti a norma del paragrafo 3 del presente articolo al rispetto, da parte del riutilizzatore, di un obbligo di riservatezza che vieti la divulgazione di qualsiasi informazione che comprometta i diritti e gli interessi di terzi e che il riutilizzatore possa aver acquisito malgrado le misure di tutela adottate. I riutilizzatori hanno il divieto di reidentificare gli interessati cui si riferiscono i dati e adottano misure tecniche e operative per impedire la reidentificazione e notificare all'ente pubblico qualsiasi violazione dei dati che comporti la reidentificazione degli interessati. In caso di riutilizzo non autorizzato di dati non personali il riutilizzatore informa senza ritardo, se opportuno con l'assistenza dell'ente pubblico, le persone giuridiche i cui diritti e interessi possono essere.

6.   Qualora il riutilizzo dei dati non possa essere consentito in conformità degli obblighi di cui ai paragrafi 3 e 4 del presente articolo e non vi sia alcuna base giuridica per la trasmissione dei dati a norma del regolamento (UE) 2016/679, l'ente pubblico si adopera al meglio, conformemente al diritto dell'Unione e nazionale, per fornire assistenza ai potenziali riutilizzatori nel richiedere il consenso degli interessati o l'autorizzazione dei titolari dei dati i cui diritti e interessi possono essere interessati da tale riutilizzo, ove ciò sia fattibile senza un onere sproporzionato per l'ente pubblico. Qualora fornisca tale assistenza, l'ente pubblico può essere assistito dagli organismi competenti di cui all'articolo 7, paragrafo 1.

7.   Il riutilizzo dei dati è consentito solo nel rispetto dei diritti di proprietà intellettuale. Il diritto del costitutore di una banca di dati di cui all'articolo 7, paragrafo 1, della direttiva 96/9/CE non è esercitato dagli enti pubblici al fine di impedire il riutilizzo dei dati o di limitarlo oltre i limiti stabiliti dal presente regolamento.

8.   Quando i dati richiesti sono considerati riservati, conformemente al diritto dell'Unione o nazionale in materia di riservatezza commerciale o statistica, gli enti pubblici provvedono affinché i dati riservati non siano divulgati in conseguenza all'autorizzazione di tale riutilizzo, a meno che tale riutilizzo non sia consentito a norma del paragrafo 6.

9.   Qualora intenda trasferire a un paese terzo dati non personali protetti per i motivi di cui all'articolo 3, paragrafo 1, il riutilizzatore informa l'ente pubblico della sua intenzione a trasferire tali dati e della finalità di tale trasferimento al momento della richiesta di riutilizzo di tali dati. In caso di riutilizzo a norma del paragrafo 6 del presente articolo, il riutilizzatore informa, se opportuno con l'assistenza dell'ente pubblico, la persona giuridica i cui diritti e interessi possono essere interessati da tale intenzione, tale finalità e tali tutele adeguate. L'ente pubblico non consente il riutilizzo a meno che la persona giuridica non dia l'autorizzazione al trasferimento.

10.   Gli enti pubblici trasmettono dati riservati non personali o dati protetti da diritti di proprietà intellettuale a un riutilizzatore che intende trasferire tali dati a un paese terzo diverso da un paese designato in conformità del paragrafo 12 solo se il riutilizzatore si impegna contrattualmente:

a)

a rispettare gli obblighi imposti in conformità dei paragrafi 7 e 8 anche dopo il trasferimento dei dati al paese terzo; e

b)

ad accettare la competenza degli organi giurisdizionali dello Stato membro dell'ente pubblico che trasmette i dati in merito a qualsiasi controversia relativa al rispetto dei paragrafi 7 e 8.

11.   Gli enti pubblici forniscono, se del caso e nei limiti delle loro capacità, orientamenti e assistenza ai riutilizzatori affinché rispettino gli obblighi di cui al paragrafo 10 del presente articolo.

Al fine di assistere gli enti pubblici e i riutilizzatori, la Commissione può adottare atti di esecuzione che stabiliscano clausole contrattuali tipo per il rispetto degli obblighi di cui al paragrafo 10 del presente articolo. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 33, paragrafo 3.

12.   Se giustificato da un numero considerevole di richieste in tutta l'Unione riguardanti il riutilizzo di dati non personali in determinati paesi terzi, la Commissione può adottare atti di esecuzione in cui si dichiara che le disposizioni legislative, di vigilanza e in materia di applicazione di un paese terzo:

a)

garantiscono una protezione della proprietà intellettuale e dei segreti commerciali sostanzialmente equivalente a quella garantita dal diritto dell'Unione;

b)

sono applicate e fatte rispettare in modo efficace; e

c)

consentono un ricorso giurisdizionale effettivo.

Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 33, paragrafo 3.

13.   Specifici atti legislativi dell'Unione possono stabilire che determinate categorie di dati non personali detenuti da enti pubblici siano considerate altamente sensibili ai fini del presente articolo, laddove il loro trasferimento a paesi terzi possa mettere a rischio gli obiettivi di politica pubblica dell'Unione, quali la sicurezza e la salute pubblica, o possa comportare il rischio di una reidentificazione dei dati non personali anonimizzati. Qualora tale atto sia adottato, la Commissione adotta atti delegati conformemente all'articolo 32 al fine di integrare il presente regolamento stabilendo condizioni particolari applicabili ai trasferimenti di tali dati verso paesi terzi.

Tali condizioni particolari si basano sulla natura delle categorie di dati non personali individuate nello specifico atto legislativo dell'Unione e sui motivi per cui tali categorie sono considerate altamente sensibili, tenendo in considerazione il rischio di una reidentificazione dei dati non personali anonimizzati. Esse sono non discriminatorie e limitate a quanto necessario per conseguire gli obiettivi di politica pubblica dell'Unione individuati in tale atto, conformemente agli obblighi internazionali dell'Unione.

Qualora richiesto dagli atti legislativi specifici dell'Unione di cui al primo comma, tali condizioni particolari possono includere termini applicabili al trasferimento o alle modalità tecniche ad esso relative, limitazioni per quanto riguarda il riutilizzo di dati in paesi terzi o categorie di persone autorizzate a trasferire tali dati a paesi terzi o, in casi eccezionali, restrizioni per quanto riguarda i trasferimenti a paesi terzi.

14.   La persona fisica o giuridica cui è stato concesso il diritto di riutilizzo dei dati non personali può trasferire i dati solo ai paesi terzi per i quali sono soddisfatti i requisiti di cui ai paragrafi 10, 12 e 13.

Articolo 6

Tariffe

1.   Gli enti pubblici che consentono il riutilizzo delle categorie di dati di cui all'articolo 3, paragrafo 1, possono imporre tariffe per consentire il riutilizzo di tali dati.

2.   Le tariffe imposte a norma del paragrafo 1 sono trasparenti, non discriminatorie, proporzionate e oggettivamente giustificate e non limitano la concorrenza.

3.   Gli enti pubblici provvedono affinché le tariffe possano anche essere pagate online mediante servizi di pagamento transfrontalieri ampiamente diffusi, senza discriminazioni basate sul luogo di stabilimento del fornitore del servizio di pagamento, sul luogo di emissione dello strumento di pagamento o sull'ubicazione del conto di pagamento all'interno dell'Unione.

4.   Qualora gli enti pubblici applichino tariffe, essi adottano misure per incentivare il riutilizzo delle categorie di dati di cui all'articolo 3, paragrafo 1, a fini non commerciali, quali la ricerca scientifica, e da parte delle PMI e delle start-up in conformità delle norme sugli aiuti di Stato. A tale riguardo, gli enti pubblici possono anche mettere a disposizione i dati a una tariffa ridotta o nulla, in particolare per le PMI e le start-up, la società civile e gli istituti di istruzione. A tal fine, gli enti pubblici possono stilare un elenco di categorie di riutilizzatori a cui i dati per il riutilizzo sono forniti a una tariffa ridotta o a titolo gratuito. Detto elenco è reso pubblico unitamente ai criteri adottati per la sua redazione.

5.   L'ammontare di eventuali tariffe deriva dai costi relativi allo svolgimento del procedimento delle richieste di riutilizzo delle categorie di dati di cui all'articolo 3, paragrafo 1, e si limita ai costi necessari per:

a)

la riproduzione, la fornitura e la diffusione dei dati;

b)

l'acquisizione dei diritti;

c)

l'anonimizzazione o altre forme di preparazione dei dati personali e commerciali riservati di cui all'articolo 5, paragrafo 3;

d)

il mantenimento dell'ambiente di trattamento sicuro;

e)

l'acquisizione del diritto di consentire il riutilizzo a norma del presente capo da parte di terzi esterni al settore pubblico, nonché;

f)

l'assistenza ai riutilizzatori nel richiedere il consenso degli interessati e l'autorizzazione dei titolari dei dati i cui diritti e interessi possono essere interessati da tale riutilizzo.

6.   I criteri e la metodologia di calcolo delle tariffe sono stabiliti dagli Stati membri e pubblicati. L'ente pubblico pubblica una descrizione delle principali categorie di costi e delle regole utilizzate per la ripartizione dei costi.

Articolo 7

Organismi competenti

1.   Ai fini della realizzazione dei compiti di cui al presente articolo, ciascuno Stato membro designa uno o più organismi competenti, che possono essere competenti per specifici settori, per assistere gli enti pubblici che concedono o rifiutano l'accesso al riutilizzo delle categorie di dati di cui all'articolo 3, paragrafo 1. Gli Stati membri possono istituire uno o più organismi competenti nuovi o avvalersi di enti pubblici esistenti o di servizi interni di enti pubblici che soddisfano le condizioni stabilite dal presente regolamento.

2.   Gli organismi competenti possono inoltre essere abilitati a concedere l'accesso per il riutilizzo delle categorie di dati di cui all'articolo 3, paragrafo 1, a norma del diritto dell'Unione o nazionale che prevede la concessione di tale accesso. Qualora concedano o neghino l'accesso per il riutilizzo, a tali organismi competenti si applicano gli articoli 4, 5, 6 e 9.

3.   Gli organismi competenti dispongono di risorse giuridiche, finanziarie, tecniche e umane adeguate per svolgere i compiti loro affidati, comprese le conoscenze tecniche necessarie per poter rispettare il pertinente diritto dell'Unione o nazionale in materia di regimi di accesso per le categorie di dati di cui all'articolo 3, paragrafo 1.

4.   L'assistenza di cui al paragrafo 1 comprende, ove necessario:

a)

fornire assistenza tecnica mettendo a disposizione un ambiente di trattamento sicuro per la fornitura dell'accesso ai fini del riutilizzo dei dati;

b)

fornire orientamenti e assistenza tecnica su come strutturare e conservare al meglio i dati per renderli facilmente accessibili;

c)

fornire assistenza tecnica per la pseudonimizzazione e garantire il trattamento dei dati in modo da tutelare efficacemente la vita privata, la riservatezza, l'integrità e l'accessibilità delle informazioni contenute nei dati per i quali è consentito il riutilizzo, comprese le tecniche di anonimizzazione, generalizzazione, soppressione e randomizzazione dei dati personali o altri metodi all'avanguardia di tutela della vita privata, e la cancellazione di informazioni commerciali riservate, tra cui segreti commerciali o contenuti protetti da diritti di proprietà intellettuale;

d)

se del caso, fornire assistenza agli enti pubblici affinché aiutino i riutilizzatori a richiedere agli interessati il consenso al riutilizzo o ai titolari dei dati l'autorizzazione al riutilizzo, in linea con le loro decisioni specifiche, anche in merito alla giurisdizione in cui si intende effettuare il trattamento dei dati, e fornire assistenza agli enti pubblici nell'istituire meccanismi tecnici che permettano di trasmettere le richieste di consenso o di autorizzazione formulate dai riutilizzatori, ove ciò sia fattibile nella pratica;

e)

fornire assistenza agli enti pubblici in merito alla valutazione dell'adeguatezza degli impegni contrattuali assunti da un riutilizzatore, a norma dell'articolo 5, paragrafo 10.

5.   Ciascuno Stato membro notifica alla Commissione l'identità degli organismi competenti designati a norma del paragrafo 1 entro il 24 settembre 2023. Ciascuno Stato membro notifica altresì alla Commissione ogni successiva modifica dell'identità di tali organismi competenti.

Articolo 8

Sportelli unici

1.   Gli Stati membri provvedono affinché tutte le informazioni pertinenti relative all'applicazione degli articoli 5 e 6 siano disponibili e facilmente accessibili attraverso uno sportello unico. Gli Stati membri istituiscono un nuovo ente o designano un ente o una struttura esistente quale sportello unico. Lo sportello unico può essere collegato a sportelli settoriali, regionali o locali. Le funzioni dello sportello unico possono essere automatizzate a condizione che l'ente pubblico garantisca un sostegno adeguato.

2.   Lo sportello unico è competente per il ricevimento delle richieste di informazioni e delle richieste di riutilizzo delle categorie di dati di cui all'articolo 3, paragrafo 1, e le trasmette, ove possibile e opportuno con mezzi automatizzati, agli enti pubblici competenti o, se del caso, agli organismi competenti di cui all'articolo 7, paragrafo 1. Lo sportello unico mette a disposizione per via elettronica un elenco consultabile delle risorse che comprende una panoramica di tutte le risorse di dati disponibili, tra cui, se del caso, quelle disponibili presso gli sportelli settoriali, regionali e locali, contenente informazioni pertinenti che descrivono i dati disponibili, compresi almeno il formato e le dimensioni dei dati e le condizioni per il loro riutilizzo.

3.   Lo sportello unico può istituire un canale di informazione distinto, semplificato e ben documentato per le PMI e le start-up, che risponda alle loro esigenze e capacità di chiedere il riutilizzo delle categorie di dati di cui all'articolo 3, paragrafo 1.

4.   La Commissione istituisce un punto di accesso unico europeo che offre un registro elettronico consultabile dei dati disponibili presso gli sportelli unici nazionali e ulteriori informazioni su come richiedere i dati tramite tali sportelli unici nazionali.

Articolo 9

Procedura per le richieste di riutilizzo

1.   A meno che non siano stati stabiliti termini più brevi conformemente al diritto nazionale, gli enti pubblici competenti o gli organismi competenti di cui all'articolo 7, paragrafo 1, adottano una decisione sulla richiesta di riutilizzo delle categorie di dati di cui all'articolo 3, paragrafo 1, entro due mesi dalla data di ricevimento della richiesta.

In caso di richieste eccezionalmente cospicue e complesse per il riutilizzo, tale periodo di due mesi può essere prorogato al massimo di 30 giorni. In tali casi, gli enti pubblici competenti o gli organismi competenti di cui all'articolo 7, paragrafo 1, notificano il prima possibile al richiedente che occorre più tempo per svolgere la procedura e la relativa motivazione per il ritardo.

2.   Qualsiasi persona fisica o giuridica direttamente interessata dalla decisione di cui al paragrafo 1 ha l'effettivo diritto di ricorso nello Stato membro in cui è situato l'organismo in questione. Tale diritto di ricorso è stabilito nel diritto nazionale e comprende la possibilità di revisione da parte di un organo imparziale dotato delle opportune competenze, come per esempio l'autorità nazionale garante della concorrenza, l'autorità competente per l'accesso ai documenti, l'autorità di controllo istituita a norma del regolamento (UE) 2016/679, o un'autorità giudiziaria nazionale, le cui decisioni sono vincolanti per l'ente pubblico o per l'organismo competente interessato.

CAPO III

Requisiti applicabili ai servizi di intermediazione dei dati

Articolo 10

Servizi di intermediazione dei dati

La fornitura dei seguenti servizi di intermediazione dei dati è conforme all'articolo 12 ed è soggetta a una procedura di notifica:

a)

servizi di intermediazione tra i titolari dei dati e i potenziali utenti dei dati, compresa la messa a disposizione di mezzi tecnici o di altro tipo per consentire tali servizi; tali servizi possono includere scambi di dati bilaterali o multilaterali o la creazione di piattaforme o banche dati che consentono lo scambio o l'utilizzo congiunto dei dati, nonché l'istituzione di altra infrastruttura specifica per l'interconnessione di titolari dei dati con gli utenti dei dati;

b)

servizi di intermediazione tra interessati che intendono mettere a disposizione i propri dati personali o persone fisiche che intendono mettere a disposizione dati non personali e potenziali utenti dei dati, compresa la messa a disposizione di mezzi tecnici o di altro tipo per consentire tali servizi, permettendo in particolare l'esercizio dei diritti degli interessati di cui al regolamento (UE) 2016/679;

c)

servizi di cooperative di dati.

Articolo 11

Notifica da parte dei fornitori di servizi di intermediazione dei dati

1.   I fornitori di servizi di intermediazione dei dati che intendono fornire i servizi di intermediazione dei dati di cui all'articolo 10 presentano una notifica all'autorità competente per i servizi di intermediazione dei dati.

2.   Ai fini del presente regolamento, un fornitore di servizi di intermediazione dei dati con stabilimenti in più di uno Stato membro è considerato soggetto alla giurisdizione dello Stato membro in cui ha lo stabilimento principale, fatto salvo il diritto dell'Unione che disciplina le azioni transfrontaliere di risarcimento danni e i procedimenti connessi.

3.   Un fornitore di servizi di intermediazione dei dati che non è stabilito nell'Unione, ma che offre all'interno dell'Unione i servizi di intermediazione dei dati di cui all'articolo 10, designa un rappresentante legale in uno degli Stati membri in cui offre tali servizi.

Al fine di garantire la conformità al presente regolamento, il rappresentante legale riceve dal fornitore di servizi di intermediazione dei dati il mandato di essere interpellato oltre a tale fornitore o al suo posto dalle autorità competenti per i servizi di intermediazione dei dati o dagli interessati o dai titolari dei dati per quanto riguarda tutte le questioni relative ai servizi di intermediazione dei dati forniti. Il rappresentante legale collabora con le autorità competenti per i servizi di intermediazione dei dati e, su richiesta, dimostra loro in modo esauriente le misure adottate e le disposizioni messe in atto dal fornitore di servizi di intermediazione dei dati per garantire la conformità al presente regolamento.

Il fornitore di servizi di intermediazione dei dati è considerato soggetto alla giurisdizione dello Stato membro in cui è situato il suo rappresentante legale. La designazione di un rappresentante legale a cura del fornitore di servizi di intermediazione dei dati fa salve le azioni legali che potrebbero essere promosse contro il fornitore di servizi di intermediazione dei dati.

4.   Dopo aver presentato una notifica conformemente al paragrafo 1, il fornitore di servizi di intermediazione dei dati può avviare l'attività alle condizioni stabilite nel presente capo.

5.   La notifica di cui al paragrafo 1 autorizza il fornitore di servizi di intermediazione dei dati a fornire servizi di intermediazione dei dati in tutti gli Stati membri.

6.   La notifica di cui al paragrafo 1 contiene le informazioni seguenti:

a)

il nome del fornitore di servizi di intermediazione dei dati;

b)

lo status giuridico, la forma giuridica, l'assetto proprietario, le pertinenti società controllate e, qualora il fornitore di servizi di intermediazione dei dati sia registrato nel registro delle imprese o in un altro registro pubblico nazionale analogo, il numero di registrazione del fornitore di servizi di intermediazione dei dati;

c)

l'indirizzo dell'eventuale stabilimento principale del fornitore di servizi di intermediazione dei dati nell'Unione e, se opportuno, di eventuali sedi secondarie in un altro Stato membro o l'indirizzo del rappresentante legale;

d)

un sito web pubblico in cui sono reperibili informazioni complete e aggiornate sul fornitore di servizi di intermediazione dei dati e sulle sue attività, comprese almeno le informazioni di cui alle lettere a), b), c) e f);

e)

le persone di contatto e i recapiti del fornitore di servizi di intermediazione dei dati;

f)

una descrizione del servizio di intermediazione dei dati che il fornitore di servizi di intermediazione dei dati intende fornire e un'indicazione delle categorie elencate all'articolo 10 in cui rientra tale servizio di intermediazione dei dati;

g)

la data prevista di inizio dell'attività, se diversa dalla data della notifica.

7.   L'autorità competente per i servizi di intermediazione dei dati assicura che la procedura di notifica sia non discriminatoria e non falsi la concorrenza.

8.   Su richiesta del fornitore di servizi di intermediazione dei dati, l'autorità competente per i servizi di intermediazione dei dati rilascia, entro una settimana dalla notifica debitamente e interamente completata, una dichiarazione standardizzata in cui conferma che il fornitore di servizi di intermediazione dei dati ha presentato la notifica di cui al paragrafo 1 e che la notifica contiene le informazioni di cui al paragrafo 6.

9.   Su richiesta del fornitore di servizi di intermediazione dei dati, l'autorità competente per i servizi di intermediazione dei dati conferma, che il fornitore di servizi di intermediazione dei dati è conforme alle disposizioni di cui al presente articolo e all'articolo 12. Una volta ricevuta detta conferma, il fornitore di servizi di intermediazione dei dati in questione può utilizzare il titolo «fornitore di servizi di intermediazione dei dati riconosciuto nell'Unione» nelle sue comunicazioni scritte e orali, nonché un logo comune.

Per garantire che i fornitori di servizi di intermediazione dei dati riconosciuti nell’Unione siano facilmente identificabili in tutta l'Unione, la Commissione stabilisce, mediante atti di esecuzione, un disegno per il logo comune. I fornitori di servizi di intermediazione dei dati riconosciuti nell’Unione espongono il logo comune in modo chiaro su ciascuna pubblicazione online e offline relativa alle loro attività di intermediazione dei dati.

Tali atti di esecuzione sono adottati secondo la procedura consultiva di cui all'articolo 33, paragrafo 2.

10.   L'autorità competente per i servizi di intermediazione dei dati notifica senza ritardo alla Commissione, per via elettronica, ogni nuova notifica. La Commissione tiene e aggiorna regolarmente un registro pubblico di tutti i fornitori di servizi di intermediazione dei dati che forniscono i loro servizi nell'Unione. Le informazioni di cui al paragrafo 6, lettere a), b), c), d), f) e g), sono pubblicate nel registro pubblico.

11.   L'autorità competente per i servizi di intermediazione dei dati può imporre tariffe per la notifica, in conformità del diritto nazionale. Tali tariffe sono proporzionate e oggettive e si basano sui costi amministrativi relativi al monitoraggio della conformità e ad altre attività di controllo del mercato da parte dell'autorità competente per i servizi di intermediazione dei dati in relazione alle notifiche dei fornitori di servizi di intermediazione dei dati. Nel caso delle PMI e delle start-up, l'autorità competente per i servizi di intermediazione dei dati può applicare tariffe ridotte o consentire la notifica a titolo gratuito.

12.   I fornitori di servizi di intermediazione dei dati notificano all'autorità competente per i servizi di intermediazione dei dati ogni eventuale modifica delle informazioni fornite a norma del paragrafo 6 entro 14 giorni dalla data della modifica stessa.

13.   Qualora un fornitore di servizi di intermediazione dei dati cessi le sue attività, ne dà notifica entro 15 giorni alla pertinente autorità competente per i servizi di intermediazione dei dati individuata a norma dei paragrafi 1, 2 e 3.

14.   L'autorità competente per i servizi di intermediazione dei dati notifica senza ritardo alla Commissione, per via elettronica, ciascuna notifica di cui ai paragrafi 12 e 13. La Commissione aggiorna di conseguenza il registro pubblico dei fornitori di servizi di intermediazione dei dati nell'Unione.

Articolo 12

Condizioni per la fornitura di servizi di intermediazione dei dati

La fornitura di servizi di intermediazione dei dati di cui all'articolo 10 è soggetta alle condizioni seguenti:

a)

il fornitore di servizi di intermediazione dei dati non utilizza i dati per i quali fornisce servizi di intermediazione dei dati per scopi diversi dalla messa a disposizione di tali dati agli utenti dei dati e fornisce servizi di intermediazione dei dati attraverso una persona giuridica distinta;

b)

le condizioni commerciali, compresa la fissazione del prezzo, per la fornitura di servizi di intermediazione dei dati a un titolare dei dati o a un utente dei dati non sono subordinate al fatto che il titolare dei dati o l'utente dei dati utilizzi altri servizi forniti dallo stesso fornitore di servizi di intermediazione dei dati o da un'entità collegata, e, in caso affermativo, in che misura il titolare dei dati o gli utenti dei dati utilizzano tali altri servizi;

c)

i dati raccolti su qualsiasi attività di una persona fisica o giuridica ai fini della fornitura del servizio di intermediazione dei dati, compresi la data, l'ora e i dati di geolocalizzazione, la durata dell'attività e i collegamenti con altre persone fisiche o giuridiche stabiliti dalla persona che utilizza il servizio di intermediazione dei dati, sono utilizzati solo per lo sviluppo di tale servizio di intermediazione dei dati, il che può comportare l'uso di dati per l'individuazione di frodi o a fini di cibersicurezza, e sono messi a disposizione dei titolari dei dati su richiesta;

d)

il fornitore di servizi di intermediazione dei dati agevola lo scambio dei dati nel formato in cui li riceve da un interessato o da un titolare dei dati, li converte in formati specifici solo allo scopo di migliorare l'interoperabilità a livello intrasettoriale e intersettoriale, se richiesto dall'utente dei dati, se prescritto dal diritto dell'Unione o per garantire l'armonizzazione con le norme internazionali o europee in materia di dati e offre agli interessati o ai titolari dei dati la possibilità di non partecipare a tali conversioni, a meno che la conversione non sia prescritta dal diritto dell'Unione;

e)

i servizi di intermediazione dei dati possono comprendere l'offerta di strumenti e servizi supplementari specifici ai titolari dei dati o agli interessati allo scopo specifico di facilitare lo scambio dei dati, come la conservazione temporanea, la cura, la conversione, l'anonimizzazione e la pseudonimizzazione, fermo restando che tali strumenti e servizi sono utilizzati solo su richiesta o approvazione esplicita del titolare dei dati o dell'interessato e gli strumenti di terzi offerti in tale contesto non utilizzano i dati per altri scopi;

f)

il fornitore di servizi di intermediazione dei dati provvede affinché la procedura di accesso al suo servizio sia equa, trasparente e non discriminatoria sia per gli interessati e i titolari dei dati sia per gli utenti dei dati, anche per quanto riguarda i prezzi e le condizioni di servizio;

g)

il fornitore di servizi di intermediazione dei dati dispone di procedure per prevenire pratiche fraudolente o abusive in relazione a soggetti che richiedono l'accesso tramite i suoi servizi di intermediazione dei dati;

h)

in caso di insolvenza, il fornitore di servizi di intermediazione dei dati garantisce una ragionevole continuità della fornitura dei suoi servizi di intermediazione dei dati e, nel caso tali servizi di intermediazione dei dati garantiscono la conservazione dei dati, dispone di meccanismi che consentano ai titolari dei dati e agli utenti dei dati di ottenere l'accesso ai loro dati o il trasferimento o il recupero degli stessi, e che consentano agli interessati, nel caso in cui tale fornitura di servizi di intermediazione dei dati sia fornita tra interessati e utenti dei dati, di esercitare i propri diritti;

i)

il fornitore di servizi di intermediazione dei dati adotta misure adeguate per garantire l'interoperabilità con altri servizi di intermediazione dei dati, tra l'altro mediante norme aperte di uso comune nel settore in cui opera il fornitore di servizi di intermediazione dei dati;

j)

il fornitore di servizi di intermediazione dei dati mette in atto adeguate misure tecniche, giuridiche e organizzative al fine di impedire il trasferimento di dati non personali o l'accesso a questi ultimi nel caso in cui ciò sia illegale a norma del diritto dell'Unione o del diritto nazionale dello Stato membro interessato;

k)

il fornitore di servizi di intermediazione dei dati informa senza ritardo i titolari dei dati in caso di trasferimento, accesso o utilizzo non autorizzati dei dati non personali che ha condiviso;

l)

il fornitore di servizi di intermediazione dei dati adotta le misure necessarie per garantire un adeguato livello di sicurezza per la conservazione, il trattamento e la trasmissione di dati non personali, e il fornitore di servizi di intermediazione dei dati assicura inoltre il massimo livello di sicurezza per la conservazione e la trasmissione di informazioni sensibili sotto il profilo della concorrenza;

m)

il fornitore di servizi di intermediazione dei dati che offre servizi agli interessati agisce nell'interesse superiore di questi ultimi nel facilitare l'esercizio dei loro diritti, in particolare informandoli e, se opportuno, fornendo loro consulenza in maniera concisa, trasparente, intelligibile e facilmente accessibile sugli utilizzi previsti dei dati da parte degli utenti dei dati e sui termini e le condizioni standard cui sono subordinati tali utilizzi, prima che gli interessati diano il loro consenso;

n)

qualora un fornitore di servizi di intermediazione dei dati fornisca strumenti per ottenere il consenso degli interessati o le autorizzazioni a trattare i dati messi a disposizione dai titolari dei dati, esso specifica, se del caso, la giurisdizione del paese terzo in cui si intende effettuare l'utilizzo dei dati e fornisce agli interessati gli strumenti per dare e revocare il consenso e ai titolari dei dati gli strumenti per dare e revocare le autorizzazioni a trattare i dati;

o)

il fornitore di servizi di intermediazione dei dati tiene un registro dell'attività di intermediazione dei dati.

Articolo 13

Autorità competenti per i servizi di intermediazione dei dati

1.   Ciascuno Stato membro designa una o più autorità competenti a svolgere i compiti relativi alla procedura di notifica per i servizi di intermediazione dei dati e notifica alla Commissione l'identità di tali autorità competenti entro il 24 settembre 2023. Ciascuno Stato membro notifica inoltre alla Commissione ogni eventuale modifica successiva dell'identità di tali autorità competenti.

2.   Le autorità competenti per i servizi di intermediazione dei dati rispettano i requisiti di cui all'articolo 26.

3.   I poteri delle autorità competenti per i servizi di intermediazione dei dati non pregiudicano i poteri delle autorità per la protezione dei dati, delle autorità nazionali garanti della concorrenza, delle autorità responsabili della cibersicurezza e di altre autorità settoriali pertinenti. Conformemente alle rispettive competenze ai sensi del diritto dell'Unione e nazionale, tali autorità istituiscono una forte cooperazione e si scambiano le informazioni come necessario per l'esercizio dei loro compiti in relazione ai fornitori di servizi di intermediazione dei dati, e si adoperano per conseguire la coerenza delle decisioni adottate in applicazione del presente regolamento.

Articolo 14

Monitoraggio della conformità

1.   Le autorità competenti per i servizi di intermediazione dei dati monitorano e controllano la conformità dei fornitori dei servizi di intermediazione dei dati ai requisiti di cui al presente capo. Le autorità competenti per i servizi di intermediazione dei dati possono inoltre monitorare e controllare la conformità dei fornitori dei servizi di intermediazione dei dati sulla base di una richiesta da parte di persone fisiche o giuridiche.

2.   Le autorità competenti per i servizi di intermediazione dei dati hanno il potere di chiedere ai fornitori di servizi di intermediazione dei dati o ai loro rappresentanti legali tutte le informazioni necessarie per verificare la conformità ai requisiti di cui al presente capo. Le richieste di informazioni sono motivate e proporzionate rispetto all'assolvimento del compito.

3.   Qualora constati che un fornitore di servizi di intermediazione dei dati non rispetta uno o più requisiti di cui al presente capo, l'autorità competente per i servizi di intermediazione dei dati notifica tale circostanza al fornitore di servizi di intermediazione dei dati e gli offre l'opportunità di esprimere osservazioni entro 30 giorni dal ricevimento della notifica.

4.   L'autorità competente per i servizi di intermediazione dei dati ha il potere di imporre la cessazione della violazione di cui al paragrafo 3 entro un termine ragionevole oppure immediatamente in caso di violazione grave e adotta misure adeguate e proporzionate volte ad assicurare l'osservanza. A tal proposito l'autorità competente per i servizi di intermediazione dei dati ha il potere, ove opportuno, di:

a)

imporre, mediante procedure amministrative, sanzioni pecuniarie dissuasive, che possono includere sanzioni periodiche e sanzioni con effetto retroattivo, oppure avviare procedimenti giudiziari per l'imposizione di ammende, o entrambe le misure;

b)

chiedere un rinvio dell'inizio o della fornitura del servizio di intermediazione dei dati, o una sospensione della stessa, fino a quando non siano state apportate le modifiche alle condizioni richieste dall'autorità competente per i servizi di intermediazione dei dati; o

c)

chiedere la cessazione della fornitura del servizio di intermediazione dei dati nel caso in cui le violazioni gravi o ripetute non siano state rettificate nonostante la notifica preventiva di cui al paragrafo 3.

Una volta ordinata la cessazione della fornitura del servizio di intermediazione dei dati, l'autorità competente per i servizi di intermediazione dei dati chiede alla Commissione di eliminare il fornitore del servizio di intermediazione dei dati dal registro dei fornitori di servizi di intermediazione dei dati in conformità del primo comma, lettera c).

Se un fornitore di servizi di intermediazione dei dati rettifica le violazioni, tale fornitore di servizi di intermediazione dei dati invia una nuova notifica all'autorità competente per i servizi di intermediazione dei dati. L'autorità competente per i servizi di intermediazione dei dati notifica alla Commissione ognuna di tali nuove notifiche.

5.   Qualora un fornitore di servizi di intermediazione dei dati non stabilito nell'Unione non designi un rappresentante legale o qualora quest'ultimo non fornisca, su richiesta dell'autorità competente per i servizi di intermediazione dei dati, le informazioni necessarie che dimostrino in modo esauriente il rispetto del presente regolamento, l'autorità competente per i servizi di intermediazione dei dati ha il potere di rinviare l'inizio della fornitura del servizio di intermediazione dei dati, o sospenderla, fino alla designazione del rappresentante legale o alla presentazione delle informazioni necessarie.

6.   Le autorità competenti per i servizi di intermediazione dei dati notificano senza ritardo al fornitore di servizi di intermediazione dei dati interessato le misure imposte a norma dei paragrafi 4 e 5 e i motivi su cui si basano, nonché le misure che occorre adottare per rettificare le lacune pertinenti, e stabiliscono un periodo ragionevole, non superiore a 30 giorni, entro il quale il fornitore di servizi di intermediazione dei dati deve conformarsi a tali misure.

7.   Se lo stabilimento principale o il rappresentante legale di un fornitore di servizi di intermediazione dei dati si trova in uno Stato membro, ma tale fornitore presta servizi in altri Stati membri, l'autorità competente per i servizi di intermediazione dei dati dello Stato membro dello stabilimento principale o in cui si trova il rappresentante legale e le autorità competenti per i servizi di intermediazione dei dati di tali altri Stati membri collaborano e si prestano assistenza reciprocamente. Tali assistenza e collaborazione possono comprendere scambi di informazioni tra le autorità competenti per i servizi di intermediazione dei dati interessate ai fini dell'assolvimento dei loro compiti a norma del presente regolamento e richieste motivate di adottare le misure di cui al presente articolo.

Se un'autorità competente per i servizi di intermediazione dei dati di uno Stato membro chiede assistenza a un'autorità competente per i servizi di intermediazione dei dati di un altro Stato membro, essa presenta una richiesta motivata. L'autorità competente per i servizi di intermediazione dei dati che riceve tale richiesta fornisce una risposta senza ritardo ed entro un termine proporzionato all'urgenza della richiesta.

Tutte le informazioni scambiate nel quadro dell'assistenza richiesta e prestata a norma del presente paragrafo sono utilizzate solo in relazione alla questione per cui sono state richieste.

Articolo 15

Deroghe

Il presente capo non si applica alle organizzazioni per l'altruismo dei dati riconosciute o ad altre entità senza scopo di lucro nella misura in cui le loro attività consistono nel cercare di raccogliere, per obiettivi di interesse generale, dati messi a disposizione da persone fisiche o giuridiche sulla base dell'altruismo dei dati, a meno che tali organizzazioni e entità non puntino a stabilire relazioni commerciali tra un numero indeterminato di interessati e titolari dei dati, da un lato, e utenti dei dati, dall'altro.

CAPO IV

Altruismo dei dati

Articolo 16

Disposizioni nazionali per l'altruismo dei dati

Gli Stati membri possono predisporre disposizioni organizzative o tecniche, o entrambe, per facilitare l'altruismo dei dati. A tal fine, gli Stati membri possono stabilire politiche nazionali per l'altruismo dei dati. Tali politiche nazionali possono in particolare assistere gli interessati a rendere disponibili su base volontaria a fini di altruismo dei dati i dati personali che li riguardano detenuti da enti pubblici, e stabilire le informazioni necessarie che devono essere fornite agli interessati in merito al riutilizzo dei loro dati nell'interesse generale.

Se uno Stato membro elabora tali politiche nazionali, lo notifica alla Commissione.

Articolo 17

Registri pubblici delle organizzazioni per l'altruismo dei dati riconosciute

1.   Ciascuna autorità competente per la registrazione delle organizzazioni per l'altruismo dei dati tiene e aggiorna periodicamente un registro pubblico nazionale delle organizzazioni per l'altruismo dei dati riconosciute.

2.   A fini informativi, la Commissione tiene un registro pubblico dell'Unione delle organizzazioni per l'altruismo dei dati riconosciute. Purché sia registrata nel registro pubblico nazionale delle organizzazioni per l'altruismo dei dati riconosciute conformemente all'articolo 18, un'entità può utilizzare, nelle proprie comunicazioni scritte e orali, il titolo «organizzazione per l'altruismo dei dati riconosciuta nell'Unione» nonché un logo comune.

Per garantire che le organizzazioni per l'altruismo dei dati riconosciute siano facilmente identificabili in tutta l'Unione, la Commissione stabilisce, mediante atti di esecuzione, un disegno per il logo comune. Le organizzazioni per l'altruismo dei dati riconosciute espongono il logo comune in modo chiaro su ogni pubblicazione online e offline relativa alle loro attività di altruismo dei dati. Il logo comune è accompagnato da un codice QR con un link al registro pubblico dell'Unione delle organizzazioni per l'altruismo dei dati riconosciute.

Tali atti di esecuzione sono adottati secondo la procedura consultiva di cui all'articolo 33, paragrafo 2.

Articolo 18

Requisiti generali per la registrazione

Al fine di essere ammissibile alla registrazione in un registro pubblico nazionale delle organizzazioni per l'altruismo dei dati riconosciute, un'entità deve:

a)

svolgere attività di altruismo dei dati;

b)

essere una persona giuridica costituita a norma del diritto nazionale per conseguire obiettivi di interesse generale, stabiliti nel diritto nazionale, ove applicabile;

c)

operare senza scopo di lucro ed essere giuridicamente indipendente da qualsiasi entità che operi a scopo di lucro;

d)

svolgere le proprie attività di altruismo dei dati mediante una struttura funzionalmente separata dalle sue altre attività;

e)

rispettare il codice di cui all'articolo 22, paragrafo 1, al più tardi entro 18 mesi dopo la data di entrata in vigore degli atti delegati di cui a tale paragrafo.

Articolo 19

Registrazione delle organizzazioni per l'altruismo dei dati riconosciute

1.   Un'entità che soddisfi i requisiti di cui all'articolo 18 può presentare una domanda di registrazione nel registro pubblico nazionale delle organizzazioni per l'altruismo dei dati riconosciute nello Stato membro in cui è stabilita.

2.   Un'entità che soddisfa i requisiti di cui all'articolo 18 e ha stabilimenti in più di uno Stato membro può presentare una domanda di registrazione nel registro pubblico nazionale delle organizzazioni di altruismo dei dati riconosciute nello Stato membro in cui ha lo stabilimento principale.

3.   Un'entità che soddisfa i requisiti di cui all'articolo 18 ma che non è stabilita nell'Unione designa un rappresentante legale in uno degli Stati membri in cui offre i servizi di intermediazione dei dati.

Al fine di garantire la conformità al presente regolamento, il rappresentante legale riceve dall'entità il mandato di essere interpellato oltre all'entità stessa o al suo posto dalle autorità competenti per la registrazione delle organizzazioni per l'altruismo dei dati o dagli interessati o dai titolari dei dati per quanto riguarda tutte le questioni relative a tale entità. Il rappresentante legale collabora con le autorità competenti per la registrazione delle organizzazioni per l'altruismo dei dati e, su richiesta, dimostra loro in modo esauriente le misure adottate e le disposizioni messe in atto dall'entità per garantire la conformità al presente regolamento.

L'entità è considerata soggetta alla giurisdizione dello Stato membro in cui è situato il rappresentante legale. Tale entità può presentare una domanda di registrazione nel registro pubblico nazionale delle organizzazioni per l'altruismo dei dati riconosciute in tale Stato membro. La designazione di un rappresentante legale a cura dell'entità fa salve eventuali azioni legali che potrebbero essere promosse contro l'entità.

4.   La domanda di registrazione di cui ai paragrafi 1, 2 e 3 contiene le informazioni seguenti:

a)

il nome dell'entità;

b)

lo status giuridico, la forma giuridica e, qualora essa sia registrata in un registro pubblico nazionale, il numero di registrazione dell'entità;

c)

lo statuto dell'entità, se opportuno;

d)

le fonti di reddito dell'entità;

e)

l'indirizzo dell'eventuale stabilimento principale dell'entità nell'Unione e, se opportuno, di eventuali sedi secondarie in un altro Stato membro o quello del rappresentante legale;

f)

un sito web pubblico in cui sono reperibili informazioni complete e aggiornate sull'entità e sulle sue attività, comprese almeno le informazioni di cui alle lettere a), b), d), e) e h);

g)

le persone di contatto dell'entità e i relativi recapiti;

h)

gli obiettivi di interesse generale che l'entità intende promuovere raccogliendo i dati;

i)

la natura dei dati che l'entità intende controllare o trattare e, nel caso di dati personali, l'indicazione delle categorie di dati personali;

j)

qualsiasi altro documento che dimostri il soddisfacimento dei requisiti di cui all'articolo 18.

5.   Qualora l'entità abbia presentato tutte le informazioni necessarie a norma del paragrafo 4 e una volta che l'autorità competente per la registrazione delle organizzazioni per l'altruismo dei dati abbia valutato la domanda di registrazione e concluso che l'entità soddisfa i requisiti di cui all'articolo 18, l'autorità competente registra l'entità nel registro pubblico nazionale delle organizzazioni per l'altruismo dei dati riconosciute entro 12 settimane dalla data di ricevimento della domanda di registrazione. La registrazione è valida in tutti gli Stati membri.

L'autorità competente per la registrazione delle organizzazioni per l'altruismo dei dati notifica ogni registrazione alla Commissione. La Commissione inserisce tale registrazione nel registro pubblico dell'Unione delle organizzazioni per l'altruismo dei dati riconosciute.

6.   Le informazioni di cui al paragrafo 4, lettere a), b), f), g) e h), sono pubblicate nel registro pubblico nazionale pertinente delle organizzazioni per l'altruismo dei dati riconosciute.

7.   Un'organizzazione per l'altruismo dei dati riconosciuta notifica alla pertinente autorità competente per la registrazione delle organizzazioni per l'altruismo dei dati le eventuali modifiche delle informazioni fornite a norma del paragrafo 4 entro 14 giorni dalla data della modifica.

L'autorità competente per la registrazione delle organizzazioni per l'altruismo dei dati notifica senza ritardo alla Commissione, per via elettronica, ciascuna di tali notifiche. Sulla base di tale notifica la Commissione aggiorna senza ritardo il registro pubblico dell'Unione delle organizzazioni per l'altruismo dei dati riconosciute.

Articolo 20

Obblighi di trasparenza

1.   Un'organizzazione per l'altruismo dei dati riconosciuta tiene registri completi e accurati per quanto riguarda:

a)

tutte le persone fisiche o giuridiche cui è stata data la possibilità di trattare i dati detenuti da tale organizzazione per l'altruismo dei dati riconosciuta, e i loro recapiti;

b)

la data o la durata del trattamento dei dati personali o dell'utilizzo di dati non personali;

c)

le finalità del trattamento, quali dichiarate dalla persona fisica o giuridica cui è stata data la possibilità di effettuarlo;

d)

le eventuali tariffe pagate dalle persone fisiche o giuridiche che trattano i dati.

2.   Un'organizzazione per l'altruismo dei dati riconosciuta elabora e trasmette alla pertinente autorità competente per la registrazione delle organizzazioni per l'altruismo dei dati una relazione annuale di attività che contiene almeno gli elementi seguenti:

a)

informazioni sulle attività dell'organizzazione per l'altruismo dei dati riconosciuta;

b)

una descrizione delle modalità con cui, nel corso dell'esercizio finanziario in questione, sono stati promossi gli obiettivi di interesse generale per le quali sono stati raccolti i dati;

c)

un elenco di tutte le persone fisiche e giuridiche che sono state autorizzate a trattare i dati detenuti dall'entità, corredato di una descrizione sintetica degli obiettivi di interesse generale perseguiti da tale trattamento dei dati e di una descrizione dei mezzi tecnici impiegati a tal fine, compresa una descrizione delle tecniche utilizzate per tutelare la vita privata e la protezione dei dati;

d)

una sintesi dei risultati dei trattamenti dei dati autorizzati dall'organizzazione per l'altruismo dei dati riconosciuta, se opportuno;

e)

informazioni sulle fonti di entrate dell'organizzazione per l'altruismo dei dati riconosciuta, in particolare tutte le entrate derivanti dall'autorizzazione all'accesso ai dati, e sulle spese.

Articolo 21

Obblighi specifici di tutela dei diritti e degli interessi degli interessati e dei titolari dei dati per quanto riguarda i loro dati

1.   Un'organizzazione per l'altruismo dei dati riconosciuta informa in maniera chiara e facilmente comprensibile gli interessati o i titolari dei dati, prima di qualsiasi trattamento dei loro dati, in merito:

a)

agli obiettivi di interesse generale e, se opportuno, alla finalità determinata, esplicita e legittima per cui i dati devono essere trattati, e per i quali acconsentono al trattamento dei loro dati da parte di un utente dei dati;

b)

all'ubicazione e agli obiettivi di interesse generale per cui acconsentono a eventuali trattamenti effettuati in un paese terzo, nel caso in cui il trattamento sia effettuato dall‘organizzazione per l'altruismo dei dati riconosciuta.

2.   L'organizzazione per l'altruismo dei dati riconosciuta non utilizza i dati per altri obiettivi diversi da quelli di interesse generale per i quali gli interessati o i titolari dei dati acconsentono al trattamento. L'organizzazione per l'altruismo dei dati riconosciuta non ricorre a pratiche commerciali ingannevoli per sollecitare la fornitura di dati.

3.   L'organizzazione per l'altruismo dei dati riconosciuta fornisce strumenti per ottenere il consenso degli interessati o le autorizzazioni al trattamento dei dati messi a disposizione dai titolari dei dati. L'organizzazione per l'altruismo dei dati riconosciuta fornisce altresì strumenti per l'agevole revoca di tale consenso o autorizzazione.

4.   L'organizzazione per l'altruismo dei dati riconosciuta adotta misure intese a garantire un livello adeguato di sicurezza per la conservazione e il trattamento di dati non personali che ha raccolto sulla base dell'altruismo dei dati.

5.   L'organizzazione per l'altruismo dei dati riconosciuta informa senza ritardo i titolari dei dati in caso di trasferimento, accesso o utilizzo non autorizzati dei dati non personali che ha condiviso.

6.   Qualora l'organizzazione per l'altruismo dei dati riconosciuta agevoli il trattamento dei dati da parte di terzi, anche fornendo strumenti per ottenere il consenso degli interessati o le autorizzazioni a trattare i dati messi a disposizione dai titolari dei dati, essa specifica, se del caso, la giurisdizione del paese terzo in cui i dati sono destinati a essere utilizzati.

Articolo 22

Codice

1.   La Commissione adotta atti delegati conformemente all'articolo 32 al fine di integrare il presente regolamento istituendo un codice che stabilisca:

a)

adeguati requisiti in materia di informazione per garantire che gli interessati e i titolari dei dati ricevano, prima di dare il consenso o l'autorizzazione all'altruismo dei dati, informazioni sufficientemente dettagliate, chiare e trasparenti sull'utilizzo dei dati, sugli strumenti per concedere e revocare la concessione del consenso o dell'autorizzazione, e sulle misure adottate per evitare l'utilizzo improprio dei dati condivisi con l'organizzazione per l'altruismo dei dati;

b)

adeguati requisiti tecnici e di sicurezza per garantire l'opportuno livello di sicurezza per la conservazione e il trattamento dei dati, nonché per gli strumenti per la concessione o la revoca del consenso o dell'autorizzazione;

c)

tabelle di marcia per la comunicazione con un approccio multidisciplinare per sensibilizzare i pertinenti portatori di interessi, in particolare i titolari dei dati e gli interessati che potrebbero condividere i loro dati, per quanto riguarda l'altruismo dei dati, la designazione in qualità di organizzazione per l'altruismo dei dati riconosciuta nell'Unione e il codice stesso;

d)

raccomandazioni sulle norme di interoperabilità pertinenti.

2.   Il codice di cui al paragrafo 1 è elaborato in stretta collaborazione con le organizzazioni per l'altruismo dei dati e i pertinenti portatori di interessi.

Articolo 23

Autorità competenti per la registrazione di organizzazioni per l'altruismo dei dati

1.   Ciascuno Stato membro designa una o più autorità competenti responsabili del registro pubblico nazionale delle organizzazioni per l'altruismo dei dati riconosciute.

Le autorità competenti per la registrazione di organizzazioni per l'altruismo dei dati rispettano i requisiti di cui all'articolo 26.

2.   Ciascuno Stato membro notifica alla Commissione l'identità delle proprie autorità competenti per la registrazione delle organizzazioni per l'altruismo dei dati entro il 24 settembre 2023. Ciascuno Stato membro notifica alla Commissione ogni successiva modifica dell'identità di tali autorità competenti.

3.   L'autorità competente per la registrazione delle organizzazioni per l'altruismo dei dati di uno Stato membro svolge i propri compiti in collaborazione con la pertinente autorità per la protezione dei dati, qualora tali compiti siano connessi al trattamento dei dati personali, e con le pertinenti autorità settoriali dello Stato membro in questione.

Articolo 24

Monitoraggio della conformità

1.   Le autorità competenti per la registrazione delle organizzazioni per l'altruismo dei dati monitorano e controllano la conformità alle prescrizioni stabilite nel presente capo da parte organizzazioni per l'altruismo dei dati riconosciute. L'autorità competente per la registrazione delle organizzazioni per l'altruismo dei dati può inoltre monitorare e controllare la conformità di tali organizzazioni per l'altruismo dei dati riconosciute su richiesta di persone fisiche o giuridiche.

2.   Le autorità competenti per la registrazione delle organizzazioni per l'altruismo dei dati hanno il potere di richiedere alle organizzazioni per l'altruismo dei dati riconosciute le informazioni necessarie a verificare il rispetto delle prescrizioni del presente capo. Le richieste di informazioni sono motivate e proporzionate rispetto all'assolvimento del compito.

3.   L'autorità competente per la registrazione delle organizzazioni per l'altruismo dei dati che accerti l'inosservanza da parte di un’organizzazione per l'altruismo dei dati riconosciuta di una o più prescrizioni di cui al presente capo, notifica all'organizzazioni per l'altruismo dei dati riconosciuta quanto accertato e le offre l'opportunità di esprimere osservazioni entro 30 giorni dal ricevimento della notifica.

4.   L'autorità competente per la registrazione delle organizzazioni per l'altruismo dei dati ha il potere di imporre la cessazione della violazione di cui al paragrafo 3 immediatamente oppure entro un termine ragionevole e adotta misure adeguate e proporzionate volte ad assicurare l'osservanza.

5.   Qualora un’organizzazione per l'altruismo dei dati riconosciuta non rispetti una o più prescrizioni di cui al presente capo anche dopo aver ricevuto la notifica dell'autorità competente per la registrazione delle organizzazioni per l'altruismo dei dati conformemente al paragrafo 3, tale organizzazione per l'altruismo dei dati riconosciuta:

a)

perde il diritto di utilizzare il titolo di «organizzazione per l'altruismo dei dati riconosciuta nell'Unione» in qualsiasi comunicazione scritta e orale;

b)

è rimossa dal pertinente registro pubblico nazionale delle organizzazioni per l'altruismo dei dati riconosciute e dal registro pubblico dell'Unione delle organizzazioni per l'altruismo dei dati riconosciute.

L'autorità competente per la registrazione delle organizzazioni per l'altruismo dei dati rende pubblica ogni decisione di revoca del diritto di utilizzare il titolo di «organizzazione per l'altruismo dei dati riconosciuta nell'Unione» a norma del primo comma, lettera a).

6.   Se un'organizzazione per l'altruismo dei dati riconosciuta ha lo stabilimento principale o il rappresentante legale in uno Stato membro ma è attiva in altri Stati membri, l'autorità competente per la registrazione delle organizzazioni per l'altruismo dei dati dello Stato membro in cui si trova lo stabilimento principale o il rappresentante legale e le autorità competenti per la registrazione delle organizzazioni per l'altruismo dei dati di tali altri Stati membri collaborano e si prestano reciprocamente assistenza. Tali assistenza e collaborazione possono comprendere scambi di informazioni tra le autorità competenti per la registrazione delle organizzazioni per l'altruismo dei dati interessate ai fini dei compiti stabiliti nel presente regolamento e richieste motivate di adottare le misure di cui al presente articolo.

Se un'autorità competente per la registrazione delle organizzazioni per l'altruismo dei dati di uno Stato membro chiede assistenza all'autorità competente per la registrazione delle organizzazioni per l'altruismo dei dati di un altro Stato membro, essa presenta una richiesta motivata. A seguito di tale richiesta, l'autorità competente per la registrazione delle organizzazioni per l'altruismo dei dati fornisce una risposta senza ritardo ed entro un termine proporzionato all'urgenza della richiesta.

Tutte le informazioni scambiate nel quadro dell'assistenza richiesta e prestata a norma del presente paragrafo sono utilizzate solo in relazione alla questione per cui sono state richieste.

Articolo 25

Modulo europeo di consenso all'altruismo dei dati

1.   Al fine di facilitare la raccolta dei dati basata sull'altruismo dei dati, la Commissione adotta atti di esecuzione per l'istituzione e l'elaborazione di un modulo europeo di consenso all'altruismo dei dati, previa consultazione del comitato europeo per la protezione dei dati, tenendo conto del parere del comitato europeo per l'innovazione in materia di dati e coinvolgendo opportunamente i pertinenti portatori di interessi. Il modulo permette di raccogliere il consenso o l’autorizzazione in un formato uniforme in tutti gli Stati membri. Tali atti di esecuzione sono adottati secondo la procedura consultiva di cui all'articolo 33, paragrafo 2.

2.   Il modulo europeo di consenso all'altruismo dei dati utilizza un approccio modulare che ne consente la personalizzazione in funzione di settori specifici e finalità diverse.

3.   Qualora siano forniti dati personali, il modulo europeo di consenso all'altruismo dei dati garantisce che gli interessati possano dare e revocare il proprio consenso a una specifica operazione di trattamento dei dati conformemente alle prescrizioni di cui al regolamento (UE) 2016/679.

4.   Il modulo è disponibile in un formato stampabile e facilmente comprensibile nonché in un formato elettronico predisposto per la lettura automatica.

CAPO V

Autorità competenti e disposizioni procedurali

Articolo 26

Requisiti relativi alle autorità competenti

1.   Le autorità competenti per i servizi di intermediazione dei dati e le autorità competenti per la registrazione delle organizzazioni per l'altruismo dei dati sono giuridicamente distinte e funzionalmente indipendenti da qualsiasi fornitore di servizi di intermediazione dei dati o organizzazione per l'altruismo dei dati riconosciuta. Le funzioni delle autorità competenti per i servizi di intermediazione dei dati e le autorità competenti per la registrazione delle organizzazioni per l'altruismo dei dati possono essere svolte dalla stessa autorità. Gli Stati membri possono istituire una o più autorità nuove per tali finalità o avvalersi di quelle esistenti.

2.   Le autorità competenti per i servizi di intermediazione dei dati e le autorità competenti per la registrazione delle organizzazioni per l'altruismo dei dati svolgono i loro compiti in maniera imparziale, trasparente, coerente, affidabile e tempestiva. Nell'esercizio dei loro compiti, esse salvaguardano la concorrenza leale e la non discriminazione.

3.   L'alta dirigenza e il personale addetto allo svolgimento dei compiti pertinenti delle autorità competenti per i servizi di intermediazione dei dati e le autorità competenti per la registrazione delle organizzazioni per l'altruismo dei dati non possono essere il progettista, il fabbricante, il fornitore, l'installatore, l'acquirente, il proprietario, l'utente o il responsabile della manutenzione dei servizi che essi valutano, né il rappresentante autorizzato di uno di questi soggetti, né rappresentarli. Ciò non preclude l'uso dei servizi valutati che sono necessari per il funzionamento dell'autorità competente per i servizi di intermediazione dei dati e l'autorità competente per la registrazione delle organizzazioni per l'altruismo dei dati o l'uso di tali servizi per scopi personali.

4.   L'alta dirigenza e il personale delle autorità competenti per i servizi di intermediazione dei dati e le autorità competenti per la registrazione delle organizzazioni per l'altruismo dei dati non intraprendono alcuna attività che possa entrare in conflitto con la loro indipendenza di giudizio o la loro integrità in relazione alle attività di valutazione loro affidate.

5.   Le autorità competenti per i servizi di intermediazione dei dati e le autorità competenti per la registrazione delle organizzazioni per l'altruismo dei dati hanno a loro disposizione le risorse finanziarie e umane adeguate per svolgere i compiti loro affidati, comprese le risorse e le conoscenze tecniche necessarie.

6.   Su richiesta motivata e senza ritardo, le autorità competenti per i servizi di intermediazione dei dati e le autorità competenti per la registrazione delle organizzazioni per l'altruismo dei dati di uno Stato membro forniscono alla Commissione e alle autorità competenti per i servizi di intermediazione dei dati e le autorità competenti per la registrazione delle organizzazioni per l'altruismo dei dati degli altri Stati membri le informazioni necessarie a svolgere i loro compiti a norma del presente regolamento. Qualora un'autorità competente per i servizi di intermediazione dei dati o un'autorità competente per la registrazione delle organizzazioni per l'altruismo dei dati ritenga che le informazioni richieste siano riservate conformemente alle norme dell'Unione e nazionali in materia di riservatezza commerciale e segreto professionale, la Commissione e le altre autorità competenti per i servizi di intermediazione dei dati o le autorità competenti per la registrazione delle organizzazioni per l'altruismo dei dati interessate garantiscono tale riservatezza.

Articolo 27

Diritto di presentare un reclamo

1.   In relazione a qualunque aspetto che rientri nell'ambito di applicazione del presente regolamento le persone fisiche e giuridiche hanno il diritto di presentare un reclamo individuale o, se del caso, collettivo alla pertinente autorità nazionale per i servizi di intermediazione dei dati competente nei confronti di un fornitore di servizi di intermediazione dei dati o all'autorità competente per la registrazione delle organizzazioni per l'altruismo dei dati nei confronti di un'organizzazioni per l'altruismo dei dati riconosciuta.

2.   L'autorità competente per i servizi di intermediazione dei dati o l'autorità competente per la registrazione delle organizzazioni per l'altruismo dei dati a cui à stato presentato il reclamo informa il reclamante:

a)

dello stato del procedimento e della decisione adottata; nonché

b)

dei ricorsi giurisdizionali di cui all'articolo 28.

Articolo 28

Diritto a un ricorso giurisdizionale effettivo

1.   Fatti salvi eventuali ricorsi amministrativi o altri ricorsi extragiudiziali, le persone fisiche e giuridiche interessate hanno diritto a un ricorso giurisdizionale effettivo per quanto riguarda le decisioni giuridicamente vincolanti di cui all'articolo 14 adottate dalle autorità competenti per i servizi di intermediazione dei dati nell'ambito della gestione, del controllo e dell'applicazione del regime di notifica per i fornitori di servizi di intermediazione dei dati e le decisioni giuridicamente vincolanti di cui agli articoli 19 e 24 adottate dalle autorità competenti per la registrazione delle organizzazioni per l'altruismo dei dati nell'ambito del monitoraggio delle organizzazioni per l'altruismo dei dati riconosciute.

2.   I procedimenti a norma del presente articolo sono presentati dinanzi agli organi giurisdizionali dello Stato membro dell'autorità competente per i servizi di intermediazione dei dati o l'autorità competente per la registrazione delle organizzazioni per l'altruismo dei dati contro cui è mosso il ricorso giurisdizionale individualmente o, se del caso, collettivamente dai rappresentanti di una o più persone fisiche o giuridiche.

3.   Se un'autorità competente per i servizi di intermediazione dei dati o l'autorità competente per la registrazione delle organizzazioni per l'altruismo dei dati non dà seguito a un reclamo, le persone fisiche e giuridiche interessate, conformemente al diritto nazionale, hanno diritto a un ricorso giurisdizionale effettivo o hanno accesso al riesame da parte di un organo imparziale dotato delle competenze adeguate.

CAPO VI

Comitato europeo per l'innovazione in materia di dati

Articolo 29

Comitato europeo per l'innovazione in materia di dati

1.   La Commissione istituisce un comitato europeo per l'innovazione in materia di dati sotto forma di un gruppo di esperti, costituito da rappresentanti delle autorità competenti per i servizi di intermediazione dei dati e delle autorità competenti per la registrazione delle organizzazioni per l'altruismo dei dati di tutti gli Stati membri, del comitato europeo per la protezione dei dati, del garante europeo della protezione dei dati, dell'ENISA, della Commissione, dal rappresentante dell'UE per le PMI o da un rappresentante nominato dalla rete dei rappresentanti per le PMI e da altri rappresentanti di organi pertinenti di settori specifici nonché di organi con competenze specifiche. Nel nominare i singoli esperti, la Commissione mira a conseguire un equilibrio geografico e di genere tra i membri del gruppo di esperti.

2.   Il comitato europeo per l'innovazione in materia di dati è composto da almeno tre dei sottogruppi seguenti:

a)

un sottogruppo costituito dalle autorità competenti per i servizi di intermediazione dei dati e dalle autorità competenti per la registrazione delle organizzazioni per l'altruismo dei dati per lo svolgimento dei compiti di cui all'articolo 30, lettere a), c), j) e k),

b)

un sottogruppo per le discussioni tecniche su normazione, portabilità e interoperabilità a norma dell'articolo 30, lettere f) e g);

c)

un sottogruppo per il coinvolgimento dei portatori di interessi composto da rappresentanti pertinenti delle imprese, delle organizzazioni di ricerca, universitarie, della società civile e di normazione, dei pertinenti spazi comuni europei di dati e altri portatori di interessi e terzi interessati che forniscono consulenza al comitato europeo per l'innovazione in materia di dati in merito ai compiti di cui all'articolo 30, lettere d), e), f), g) e h).

3.   La Commissione presiede le riunioni del comitato europeo per l'innovazione in materia di dati.

4.   Il comitato europeo per l'innovazione in materia di dati è assistito da un segretariato fornito dalla Commissione.

Articolo 30

Compiti del comitato europeo per l'innovazione in materia di dati

Il comitato europeo per l'innovazione in materia di dati svolge i compiti seguenti:

a)

consiglia e assiste la Commissione nello sviluppo di una prassi coerente degli enti pubblici e degli organismi competenti di cui all'articolo 7, paragrafo 1, per il trattamento delle richieste di riutilizzo delle categorie di dati di cui all'articolo 3, paragrafo 1;

b)

consiglia e assiste la Commissione nello sviluppo di una prassi coerente in materia di altruismo dei dati in tutta l'Unione;

c)

consiglia e assiste la Commissione nello sviluppo di una prassi coerente delle autorità competenti per i servizi di intermediazione dei dati e le autorità competenti per la registrazione delle organizzazioni per l'altruismo dei dati per l'applicazione delle prescrizioni applicabili rispettivamente ai fornitori di servizi di intermediazione dei dati e alle organizzazioni per l'altruismo dei dati riconosciute;

d)

consiglia e assiste la Commissione nell'elaborazione di orientamenti coerenti sulle modalità per proteggere al meglio, nel contesto del presente regolamento, i dati commerciali sensibili non personali, in particolare i segreti commerciali, ma anche i dati non personali che costituiscono un contenuto protetto da diritti di proprietà intellettuale da un accesso illecito che comporti il rischio di furto della proprietà intellettuale o di spionaggio industriale;

e)

consiglia e assiste la Commissione nell'elaborazione di orientamenti coerenti sulle prescrizioni in materia di cibersicurezza per lo scambio e la conservazione dei dati;

f)

consiglia la Commissione, tenendo conto in particolare del contributo delle organizzazioni di normazione, in merito alla priorità da attribuire alle norme intersettoriali da utilizzare e sviluppare per l'utilizzo dei dati e la condivisione intersettoriale dei dati tra spazi di dati comuni europei emergenti, alla comparabilità e allo scambio intersettoriali di buone pratiche per quanto riguarda le prescrizioni settoriali in materia di sicurezza e alle procedure di accesso, tenendo conto delle attività di normazione specifiche per settore, in particolare al fine di chiarire e distinguere quali norme e prassi sono intersettoriali e quali sono settoriali;

g)

assiste la Commissione, tenendo conto in particolare del contributo delle organizzazioni di normazione, nel far fronte alla frammentazione del mercato interno e dell'economia dei dati nel mercato interno mediante il rafforzamento dell'interoperabilità transfrontaliera e intersettoriale dei dati e dei servizi di condivisione dei dati tra diversi settori e ambiti, integrando le norme europee, internazionali o nazionali esistenti, anche allo scopo di incoraggiare la creazione di spazi comuni europei di dati;

h)

propone orientamenti per gli spazi comuni europei di dati, ossia indica quadri interoperabili specifici settoriali o intersettoriali di norme e prassi comuni per condividere o trattare congiuntamente i dati, anche ai fini dello sviluppo di nuovi prodotti e servizi, della ricerca scientifica o di iniziative della società civile; tali norme e prassi comuni tengono conto delle norme esistenti, rispettano le regole di concorrenza e garantiscono un accesso non discriminatorio a tutti i partecipanti, onde agevolare la condivisione dei dati nell'Unione e sfruttare il potenziale degli spazi di dati esistenti e futuri, affrontando tra l'altro questioni quali:

i)

le norme intersettoriali da utilizzare e sviluppare per l'utilizzo dei dati e la condivisione intersettoriale dei dati, la comparabilità e lo scambio intersettoriali di buone pratiche per quanto riguarda le prescrizioni settoriali in materia di sicurezza e le procedure di accesso, tenendo conto delle attività di normazione specifiche per settore, in particolare al fine di chiarire e distinguere quali norme e prassi sono intersettoriali e quali sono settoriali;

ii)

i requisiti intesi a contrastare gli ostacoli all'ingresso nel mercato ed evitare effetti di lock-in, al fine di garantire concorrenza leale e interoperabilità;

iii)

un'adeguata tutela dei trasferimenti legali di dati a paesi terzi, tra cui le garanzie contro i trasferimenti vietati dal diritto dell'Unione;

iv)

una rappresentanza adeguata e non discriminatoria dei pertinenti portatori di interessi nella governance degli spazi comuni europei di dati;

v)

l'osservanza dei requisiti di cibersicurezza in conformità con il diritto dell'Unione;

i)

facilita la cooperazione tra gli Stati membri in merito alla definizione di condizioni armonizzate per il riutilizzo delle categorie di dati di cui all'articolo 3, paragrafo 1, detenuti da enti pubblici nell'intero mercato interno;

j)

facilita la cooperazione tra le autorità competenti per i servizi di intermediazione dei dati e le autorità competenti per la registrazione delle organizzazioni per l'altruismo dei dati attraverso lo sviluppo di capacità e lo scambio di informazioni, in particolare stabilendo metodi per lo scambio efficiente di informazioni relative alla procedura di notifica per i fornitori di servizi di intermediazione dei dati e alla registrazione e al monitoraggio delle organizzazioni per l'altruismo dei dati riconosciute, compreso il coordinamento in merito alla fissazione di tariffe o sanzioni, e facilita altresì la cooperazione tra le autorità competenti per i servizi di intermediazione dei dati e le autorità competenti per la registrazione delle organizzazioni per l'altruismo dei dati in relazione all'accesso internazionale e al trasferimento dei dati;

k)

consiglia e assiste la Commissione nel valutare se debbano essere adottati atti di esecuzione di cui all'articolo 5, paragrafi 11 e 12;

l)

consiglia e assiste la Commissione nell'elaborazione del modulo europeo di consenso all'altruismo dei dati in conformità dell'articolo 25, paragrafo 1;

m)

consiglia la Commissione in merito al miglioramento del contesto normativo internazionale relativo ai dati non personali, compresa la normazione.

CAPO VII

Accesso internazionale e trasferimento

Articolo 31

Accesso internazionale e trasferimento

1.   L'ente pubblico, la persona fisica o giuridica cui è stato concesso il diritto di riutilizzo dei dati a norma del capo II, il fornitore di servizi di intermediazione dei dati, o l'organizzazione per l'altruismo dei dati riconosciuta, adotta tutte le ragionevoli misure tecniche, giuridiche e organizzative, compresi accordi contrattuali, per impedire il trasferimento internazionale di dati non personali detenuti nell'Unione o l'accesso a questi ultimi da parte delle autorità pubbliche qualora tale trasferimento o accesso confliggesse con il diritto dell'Unione o il diritto nazionale dello Stato membro pertinente, fatto salvo il paragrafo 2 o 3.

2.   Le decisioni o le sentenze di un'autorità giurisdizionale di un paese terzo e le decisioni di un'autorità amministrativa di un paese terzo che dispongano che un ente pubblico, una persona fisica o giuridica cui è stato concesso il diritto di riutilizzo dei dati a norma del capo II, un fornitore di servizi di intermediazione dei dati o un'organizzazione per l'altruismo dei dati riconosciuta trasferiscano dati non personali detenuti nell'Unione o vi diano accesso nell'ambito di applicazione del presente regolamento sono rinconosciute o assumono qualsivoglia carattere esecutivo soltanto se basate su un accordo internazionale in vigore tra il paese terzo richiedente e l'Unione, ad esempio un trattato di mutua assistenza giudiziaria, o su un accordo di questo tipo concluso tra il paese terzo richiedente e uno Stato membro.

3.   In mancanza di un accordo internazionale di cui al paragrafo 2 del presente articolo, qualora un ente pubblico, una persona fisica o giuridica cui è stato concesso il diritto di riutilizzo dei dati a norma del capo II, un fornitore di servizi di intermediazione dei dati o un'organizzazione per l'altruismo dei dati riconosciuta siano destinatari di una decisione o di una sentenza di un'autorità giurisdizionale di un paese terzo o di una decisione di un'autorità amministrativa di un paese terzo che ordini il trasferimento di dati non personali detenuti nell'Unione o che vi sia dato accesso nell'ambito di applicazione del presente regolamento, e il rispetto di tale decisione rischi di mettere il destinatario in conflitto con il diritto dell'Unione o con il diritto nazionale dello Stato membro pertinente, il trasferimento di tali dati o l'accesso agli stessi da parte di tale autorità di un paese terzo ha luogo solo se:

a)

il sistema del paese terzo richiede che siano indicati i motivi e la proporzionalità della decisione o della sentenza, e richiede che tale decisione o sentenza abbia carattere specifico, ad esempio stabilendo un nesso sufficiente con determinate persone sospettate o determinate violazioni;

b)

l'obiezione motivata del destinatario è oggetto di esame da parte di un’autorità giurisdizionale competente del paese terzo; e

c)

l'autorità giurisdizionale competente del paese terzo che emette la decisione o la sentenza o esamina la decisione di un'autorità amministrativa ha il potere, in virtù del diritto di tale paese terzo, di tenere debitamente conto dei pertinenti interessi giuridici del fornitore dei dati tutelati a norma del diritto dell'Unione o dal diritto nazionale del pertinente Stato membro.

4.   Se le condizioni di cui ai paragrafi 2 o 3 sono soddisfatte, l'ente pubblico, la persona fisica o giuridica cui è stato concesso il diritto di riutilizzo dei dati a norma del capo II, il fornitore di servizi di intermediazione dei dati o l'organizzazione per l'altruismo dei dati riconosciuta fornisce la quantità minima di dati ammissibile in risposta a una richiesta, sulla base di un'interpretazione ragionevole della richiesta.

5.   L'ente pubblico, la persona fisica o giuridica cui è stato concesso il diritto di riutilizzo dei dati a norma del capo II, il fornitore di servizi di intermediazione dei dati e l'organizzazione per l'altruismo dei dati riconosciuta informano il titolare dei dati dell'esistenza di una richiesta di accesso ai suoi dati da parte di un'autorità amministrativa di un paese terzo prima di soddisfare tale richiesta, tranne nei casi in cui la richiesta abbia fini di contrasto e per il tempo necessario a preservare l'efficacia dell'attività di contrasto.

CAPO VIII

Delega e procedura di comitato

Articolo 32

Esercizio della delega

1.   Il potere di adottare atti delegati è conferito alla Commissione alle condizioni stabilite nel presente articolo.

2.   Il potere di adottare atti delegati di cui all'articolo 5, paragrafo 13, e all'articolo 22, paragrafo 1, è conferito alla Commissione per un periodo indeterminato a decorrere dal 23 giugno 2022.

3.   La delega di potere di cui all'articolo 5, paragrafo 13, e all'articolo 22, paragrafo 1, può essere revocata in qualsiasi momento dal Parlamento europeo o dal Consiglio. La decisione di revoca pone fine alla delega di potere ivi specificata. Gli effetti della decisione decorrono dal giorno successivo alla pubblicazione della decisione nella Gazzetta ufficiale dell'Unione europea o da una data successiva ivi specificata. Essa non pregiudica la validità degli atti delegati già in vigore.

4.   Prima dell'adozione dell'atto delegato la Commissione consulta gli esperti designati da ciascuno Stato membro nel rispetto dei principi stabiliti nell'accordo interistituzionale «Legiferare meglio» del 13 aprile 2016.

5.   Non appena adotta un atto delegato, la Commissione ne dà contestualmente notifica al Parlamento europeo e al Consiglio.

6.   L'atto delegato adottato a norma dell'articolo 5, paragrafo 13, o all'articolo 22, paragrafo 1, entra in vigore solo se né il Parlamento europeo né il Consiglio hanno sollevato obiezioni entro il termine di tre mesi dalla data in cui esso è stato loro notificato o se, prima della scadenza di tale termine, sia il Parlamento europeo che il Consiglio hanno informato la Commissione che non intendono sollevare obiezioni. Tale termine è prorogato di tre mesi su iniziativa del Parlamento europeo o del Consiglio.

Articolo 33

Procedura di comitato

1.   La Commissione è assistita da un comitato. Esso è un comitato ai sensi del regolamento (UE) n. 182/2011.

2.   Nei casi in cui è fatto riferimento al presente paragrafo, si applica l'articolo 4 del regolamento (UE) n. 182/2011.

3.   Nei casi in cui è fatto riferimento al presente paragrafo, si applica l'articolo 5 del regolamento (UE) n. 182/2011.

CAPO ix

Disposizioni finali E TRANSITORIE

Articolo 34

Sanzioni

1.   Gli Stati membri stabiliscono le norme relative alle sanzioni da applicare in caso di violazione degli obblighi in materia di trasferimento di dati non personali a paesi terzi a norma dell'articolo 5, paragrafo 14, e dell'articolo 31, dell'obbligo di notifica per i fornitori di servizi di intermediazione dei dati a norma dell'articolo 11, delle condizioni per la fornitura di servizi di intermediazione dei dati a norma dell'articolo 12, e delle condizioni per la registrazione come organizzazione per l'altruismo dei dati riconosciuta a norma degli articoli 18, 20, 21 e 22 e adottano tutte le misure necessarie per assicurarne l'applicazione. Le sanzioni previste devono essere effettive, proporzionate e dissuasive. Nelle loro norme in materia di sanzioni, gli Stati membri tengono conto delle raccomandazioni del comitato europeo per l'innovazione in materia di dati. Entro il 24 settembre 2023, gli Stati membri notificano tali norme e misure alla Commissione e notificano ad essa senza ritardo eventuali successive modifiche ad esse pertinenti.

2.   Gli Stati membri tengono conto dei seguenti criteri non esaustivi e indicativi per l'imposizione di sanzioni ai fornitori di servizi di intermediazione dei dati e alle organizzazioni per l'altruismo dei dati riconosciute in caso di violazione del presente regolamento, se opportuno:

a)

la natura, la gravità, l'entità e la durata della violazione;

b)

qualsiasi azione intrapresa dal fornitore di servizi di intermediazione dei dati o da un'organizzazione per l'altruismo dei dati riconosciuta al fine di attenuare il danno derivante dalla violazione o porvi rimedio;

c)

qualsiasi precedente violazione da parte del fornitore di servizi di intermediazione dei dati o dell'organizzazione per l'altruismo dei dati riconosciuta;

d)

i vantaggi finanziari ottenuti o le perdite evitate dal fornitore di servizi di intermediazione dei dati o da un'organizzazione per l'altruismo dei dati riconosciuta in ragione della violazione, nella misura in cui tali profitti o perdite possano essere determinati in modo attendibile;

e)

eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso.

Articolo 35

Valutazione e riesame

Entro il 24 settembre 2025 la Commissione effettua una valutazione del presente regolamento e presenta al Parlamento europeo, al Consiglio e al Comitato economico e sociale europeo una relazione sulle principali conclusioni tratte. La relazione, se necessario, è corredata di proposte legislative.

La relazione valuta in particolare gli elementi seguenti:

a)

l'applicazione e il funzionamento delle norme in materia di sanzioni stabilite dagli Stati membri a norma dell'articolo 34;

b)

il grado di conformità con il presente regolamento dei rappresentanti legali dei fornitori di servizi di intermediazione dei dati e delle organizzazioni per l'altruismo dei dati riconosciute non stabiliti nell'Unione e il grado di applicabilità delle sanzioni imposte a tali fornitori e organizzazioni;

c)

il tipo di organizzazioni per l'altruismo dei dati registrate a norma del capo IV e una panoramica degli obiettivi di interesse generale per le quali i dati sono condivisi al fine di stabilire criteri chiari a tale riguardo.

Gli Stati membri forniscono alla Commissione le informazioni necessarie per redigere tale relazione.

Articolo 36

Modifica del regolamento (UE) 2018/1724

Nella tabella di cui all'allegato II del regolamento (UE) 2018/1724, la voce «Avvio, gestione e chiusura di un'impresa» è sostituita dalla seguente:

Eventi della vita

Procedure

Risultati previsti fatta salva una valutazione della domanda da parte dell'autorità competente conformemente al diritto nazionale, se del caso

Avvio, gestione e chiusura di un'impresa

Notifica di un'attività commerciale, licenza per l'esercizio di un'attività commerciale, modifiche di un'attività commerciale e cessazione di un'attività commerciale senza procedure di insolvenza o liquidazione, esclusa la registrazione iniziale di un'attività commerciale nel registro delle imprese ed escluse le procedure relative alla costituzione di imprese o società ai sensi dell'articolo 54, secondo comma, TFUE, o a qualsiasi fascicolo presentato successivamente da queste ultime

Conferma di ricevimento della notifica o della modifica, o della richiesta di licenza di attività commerciale

 

Iscrizione di un datore di lavoro (persona fisica) presso i regimi pensionistici e assicurativi obbligatori

Conferma della registrazione o numero di sicurezza sociale

Iscrizione di dipendenti presso i regimi pensionistici e assicurativi obbligatori

Conferma della registrazione o numero di sicurezza sociale

Presentazione di una dichiarazione dei redditi d'impresa

Conferma di ricevimento della dichiarazione

Notifica ai regimi di sicurezza sociale della fine del contratto con un dipendente, escluse le procedure per la risoluzione collettiva dei contratti dei dipendenti

Conferma di ricevimento della notifica

Pagamento dei contributi sociali per i lavoratori dipendenti

Ricevimento o altra forma di conferma del pagamento dei contributi sociali per i lavoratori dipendenti

Notifica del fornitore di servizi di intermediazione dei dati

Conferma di ricevimento della notifica

Registrazione come organizzazione per l'altruismo dei dati riconosciuta nell'Unione

Conferma della registrazione

Articolo 37

Disposizioni transitorie

Le entità che forniscono i servizi di intermediazione dei dati di cui all'articolo 10 il 23 giugno 2022 ottemperano agli obblighi di cui al capo III entro il 24 settembre 2025.

Articolo 38

Entrata in vigore e applicazione

Il presente regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell'Unione europea.

Esso si applica a decorrere dal 24 settembre 2023.

Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.

Fatto a Bruxelles, il 30 maggio 2022

Per il Parlamento europeo

La presidente

R. METSOLA

Per il Consiglio

Il presidente

B. LE MAIRE


(1)  GU C 286 del 16.7.2021, pag. 38.

(2)  Posizione del Parlamento europeo del 6 aprile 2022 (non ancora pubblicata nella Gazzetta Ufficiale) e decisione del Consiglio del 16 maggio 2022.

(3)  Raccomandazione 2003/361/CE della Commissione, del 6 maggio 2003, relativa alla definizione delle microimprese, piccole e medie imprese (GU L 124 del 20.5.2003, pag. 36).

(4)  Direttiva 2011/24/UE del Parlamento europeo e del Consiglio, del 9 marzo 2011, concernente l'applicazione dei diritti dei pazienti relativi all'assistenza sanitaria transfrontaliera (GU L 88 del 4.4.2011, pag. 45).

(5)  Regolamento (UE) 2019/1239 del Parlamento europeo e del Consiglio, del 20 giugno 2019, che istituisce un sistema di interfaccia unica marittima europea e abroga la direttiva 2010/65/UE (GU L 198 del 25.7.2019, pag. 64).

(6)  Regolamento (UE) 2020/1056 del Parlamento europeo e del Consiglio, del 15 luglio 2020, relativo alle informazioni elettroniche sul trasporto merci (GU L 249 del 31.7.2020, pag. 33).

(7)  Direttiva 2010/40/UE del Parlamento europeo e del Consiglio, del 7 luglio 2010, sul quadro generale per la diffusione dei sistemi di trasporto intelligenti nel settore del trasporto stradale e nelle interfacce con altri modi di trasporto (GU L 207 del 6.8.2010, pag. 1).

(8)  Regolamento (CE) n. 223/2009 del Parlamento europeo e del Consiglio, dell'11 marzo 2009, relativo alle statistiche europee e che abroga il regolamento (CE, Euratom) n. 1101/2008 del Parlamento europeo e del Consiglio, relativo alla trasmissione all'Istituto statistico delle Comunità europee di dati statistici protetti dal segreto, il regolamento (CE) n. 322/97 del Consiglio, relativo alle statistiche comunitarie, e la decisione 89/382/CEE, Euratom del Consiglio, che istituisce un comitato del programma statistico delle Comunità europee (GU L 87 del 31.3.2009, pag. 164).

(9)  Regolamento (UE) 2018/858 del Parlamento europeo e del Consiglio, del 30 maggio 2018, relativo all'omologazione e alla vigilanza del mercato dei veicoli a motore e dei loro rimorchi, nonché dei sistemi, dei componenti e delle entità tecniche indipendenti destinati a tali veicoli, che modifica i regolamenti (CE) n. 715/2007 e (CE) n. 595/2009 e abroga la direttiva 2007/46/CE (GU L 151 del 14.6.2018, pag. 1).

(10)  Regolamento (UE) 2018/1807 del Parlamento europeo e del Consiglio, del 14 novembre 2018, relativo a un quadro applicabile alla libera circolazione dei dati non personali nell'Unione europea (GU L 303 del 28.11.2018, pag. 59).

(11)  Direttiva 2000/31/CE del Parlamento europeo e del Consiglio, dell'8 giugno 2000, relativa a taluni aspetti giuridici dei servizi della società dell'informazione, in particolare il commercio elettronico, nel mercato interno («Direttiva sul commercio elettronico») (GU L 178 del 17.7.2000, pag. 1).

(12)  Direttiva 2001/29/CE del Parlamento europeo e del Consiglio, del 22 maggio 2001, sull'armonizzazione di taluni aspetti del diritto d'autore e dei diritti connessi nella società dell'informazione (GU L 167 del 22.6.2001, pag. 10).

(13)  Direttiva 2004/48/CE del Parlamento europeo e del Consiglio, del 29 aprile 2004, sul rispetto dei diritti di proprietà intellettuale (GU L 157 del 30.4.2004, pag. 45).

(14)  Direttiva 2007/2/CE del Parlamento europeo e del Consiglio, del 14 marzo 2007, che istituisce un'Infrastruttura per l'informazione territoriale nella Comunità europea (Inspire) (GU L 108 del 25.4.2007, pag. 1).

(15)  Direttiva (UE) 2015/849 del Parlamento europeo e del Consiglio, del 20 maggio 2015, relativa alla prevenzione dell'uso del sistema finanziario a fini di riciclaggio o finanziamento del terrorismo, che modifica il regolamento (UE) n. 648/2012 del Parlamento europeo e del Consiglio e che abroga la direttiva 2005/60/CE del Parlamento europeo e del Consiglio e la direttiva 2006/70/CE della Commissione (GU L 141 del 5.6.2015, pag. 73).

(16)  Direttiva (UE) 2016/943 del Parlamento europeo e del Consiglio, dell'8 giugno 2016, sulla protezione del know-how riservato e delle informazioni commerciali riservate (segreti commerciali) contro l'acquisizione, l'utilizzo e la divulgazione illeciti (GU L 157 del 15.6.2016, pag. 1).

(17)  Direttiva (UE) 2017/1132 del Parlamento europeo e del Consiglio, del 14 giugno 2017, relativa ad alcuni aspetti di diritto societario (GU L 169 del 30.6.2017, pag. 46).

(18)  Direttiva (UE) 2019/790 del Parlamento europeo e del Consiglio, del 17 aprile 2019, sul diritto d'autore e sui diritti connessi nel mercato unico digitale e che modifica le direttive 96/9/CE e 2001/29/CE (GU L 130 del 17.5.2019, pag. 92).

(19)  Direttiva (UE) 2019/1024 del Parlamento europeo e del Consiglio, del 20 giugno 2019, relativa all'apertura dei dati e al riutilizzo dell'informazione del settore pubblico (GU L 172 del 26.6.2019, pag. 56).

(20)  Direttiva 2009/81/CE del Parlamento europeo e del Consiglio, del 13 luglio 2009, relativa al coordinamento delle procedure per l'aggiudicazione di taluni appalti di lavori, di forniture e di servizi nei settori della difesa e della sicurezza da parte delle amministrazioni aggiudicatrici/degli enti aggiudicatori, e recante modifica delle direttive 2004/17/CE e 2004/18/CE (GU L 216 del 20.8.2009, pag. 76).

(21)  Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU L 119 del 4.5.2016, pag. 1).

(22)  Regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell'Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE (GU L 295 del 21.11.2018, pag. 39).

(23)  Direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche) (GU L 201 del 31.7.2002, pag. 37).

(24)  Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio (GU L 119 del 4.5.2016, pag. 89).

(25)  Regolamento (UE) n. 557/2013 della Commissione, del 17 giugno 2013, che applica il regolamento (CE) n. 223/2009 del Parlamento europeo e del Consiglio relativo alle statistiche europee per quanto riguarda l'accesso ai dati riservati destinati a fini scientifici e che abroga il regolamento (CE) n. 831/2002 della Commissione (GU L 164 del 18.6.2013, pag. 16).

(26)  Direttiva 96/9/CE del Parlamento europeo e del Consiglio, dell'11 marzo 1996, relativa alla tutela giuridica delle banche di dati (GU L 77 del 27.3.1996, pag. 20).

(27)  Regolamento (UE) n. 600/2014 del Parlamento europeo e del Consiglio, del 15 maggio 2014, sui mercati degli strumenti finanziari e che modifica il regolamento (UE) n. 648/2012 (GU L 173 del 12.6.2014, pag. 84).

(28)  Direttiva (UE) 2015/2366 del Parlamento europeo e del Consiglio, del 25 novembre 2015, relativa ai servizi di pagamento nel mercato interno, che modifica le direttive 2002/65/CE, 2009/110/CE e 2013/36/UE e il regolamento (UE) n. 1093/2010, e abroga la direttiva 2007/64/CE (GU L 337 del 23.12.2015, pag. 35).

(29)  Regolamento (UE) 2018/1724 del Parlamento europeo e del Consiglio, del 2 ottobre 2018, che istituisce uno sportello digitale unico per l'accesso a informazioni, procedure e servizi di assistenza e di risoluzione dei problemi e che modifica il regolamento (UE) n. 1024/2012 (GU L 295 del 21.11.2018, pag. 1).

(30)  GU L 123 del 12.5.2016, pag. 1.

(31)  Regolamento (UE) n. 182/2011 del Parlamento europeo e del Consiglio, del 16 febbraio 2011, che stabilisce le regole e i principi generali relativi alle modalità di controllo da parte degli Stati membri dell'esercizio delle competenze di esecuzione attribuite alla Commissione (GU L 55 del 28.2.2011, pag. 13).

(32)  Direttiva (UE) 2016/2102 del Parlamento europeo e del Consiglio, del 26 ottobre 2016, relativa all'accessibilità dei siti web e delle applicazioni mobili degli enti pubblici (GU L 327 del 2.12.2016, pag. 1).

(33)  Direttiva (UE) 2019/882 del Parlamento europeo e del Consiglio, del 17 aprile 2019, sui requisiti di accessibilità dei prodotti e dei servizi (GU L 151 del 7.6.2019, pag. 70).