Bruxelles, 13.9.2017

COM(2017) 495 final

2017/0228(COD)

Proposta di

REGOLAMENTO DEL PARLAMENTO EUROPEO E DEL CONSIGLIO

relativo a un quadro applicabile alla libera circolazione dei dati non personali nell’Unione europea

{SWD(2017) 304 final}
{SWD(2017) 305 final}


RELAZIONE

1.CONTESTO DELLA PROPOSTA

Motivi e obiettivi della proposta

Le nuove tecnologie digitali, come il cloud computing, i megadati, l’intelligenza artificiale e l’internet degli oggetti (IoT), sono concepite per ottimizzare l’efficienza, realizzare economie di scala e sviluppare nuovi servizi. Esse offrono agli utenti vantaggi, quali la flessibilità, la produttività, la rapidità di esecuzione e l’autonomia, segnatamente grazie all’apprendimento automatico 1 .

Come indicato nella comunicazione del 2017 «Costruire un’economia dei dati europea» 2 , il valore del mercato dei dati nell’UE è stato stimato nel 2016 a quasi 60 miliardi di EUR, con una crescita del 9,5% rispetto al 2015. Secondo uno studio, tale mercato potrebbe ammontare a più di 106 miliardi di EUR nel 2020 3 .

Per sfruttare tale potenziale, la proposta si prefigge di trattare le seguenti questioni:

·migliorare la mobilità dei dati non personali a livello transfrontaliero nel mercato unico, che è attualmente limitata in molti Stati membri dalle restrizioni dovute alla localizzazione o dalle incertezze giuridiche nel mercato;

·far sì che la facoltà delle autorità competenti di chiedere e ottenere l’accesso ai dati ai fini del controllo regolamentare, quali ispezioni e audit, rimanga invariata; e

·facilitare agli utenti professionali di servizi di archiviazione o di altri servizi di trattamento di dati il cambio di fornitore di servizi e la portabilità dei loro dati, senza generare un onere eccessivo per i fornitori di servizi o distorsioni del mercato.

La revisione intermedia dell’attuazione della strategia per il mercato unico digitale 4 aveva annunciato una proposta legislativa relativa a un quadro di cooperazione per il libero flusso dei dati all’interno dell’UE.

L’obiettivo strategico generale dell’iniziativa consiste nell’instaurare un mercato interno dei servizi e delle attività di archiviazione e trattamento di dati, che sia più integrato e competitivo, affrontando le questioni sopra elencate. Nella presente proposta, l’archiviazione e gli altri trattamenti dei dati sono intesi in un’accezione ampia, che comprenda l’uso di tutti i tipi di sistemi di tecnologia dell’informazione, che avvengano nei locali dell’utente o che siano esternalizzati a un fornitore di servizi di archiviazione o di trattamento di dati 5 .

Coerenza con le disposizioni vigenti nel settore normativo interessato

La proposta persegue gli obiettivi stabiliti nella strategia per il mercato unico digitale 6 , nella sua recente revisione intermedia, nonché negli orientamenti politici dell’attuale Commissione europea "Un nuovo inizio per l’Europa: Il mio programma per l'occupazione, la crescita, l'equità e il cambiamento democratico” 7 .

La presente proposta verte sulla fornitura di servizi di hosting (archiviazione) e altri servizi di trattamento di dati ed è conforme agli strumenti giuridici esistenti. L’iniziativa si prefigge la creazione di un autentico mercato unico dell’UE per tali servizi. La proposta è pertanto coerente con la direttiva sul commercio elettronico 8 , che mira a instaurare un mercato unico dell’UE delle categorie più generali di servizi della società dell’informazione e con la direttiva sui servizi 9 , che rafforza il mercato unico dell’UE dei servizi in un certo numero di settori.

Alcuni settori interessati sono espressamente esclusi dal campo di applicazione di tale normativa (cioè, le citate direttive sui servizi e sul commercio elettronico), di modo che soltanto le disposizioni generali del trattato sarebbero applicabili a tutti i servizi di hosting (archiviazione) e altri servizi di trattamento di dati. Tuttavia, non sarebbe possibile eliminare di fatto gli ostacoli esistenti in relazione a tali servizi basandosi unicamente sull’applicazione diretta degli articoli 49 e 56 del trattato sul funzionamento dell’Unione europea (TFUE), in quanto, da un lato, affrontarli individualmente avviando procedimenti di infrazione nei confronti degli Stati membri interessati sarebbe estremamente complicato per le autorità nazionali e le istituzioni dell’Unione e, dall’altro, l’eliminazione di numerosi ostacoli richiede norme specifiche applicabili agli ostacoli non solo pubblici ma anche privati e l’istituzione di una cooperazione amministrativa. Inoltre, il conseguente miglioramento della certezza del diritto sembra essere particolarmente importante per gli utenti delle nuove tecnologie 10 .

Poiché riguarda dati elettronici diversi dai dati personali, la presente proposta non pregiudica il quadro giuridico dell’Unione in materia di protezione dei dati, in particolare il regolamento (UE) 2016/679 (regolamento generale sulla protezione dei dati) 11 , la direttiva (UE) 2016/680 (direttiva sulla protezione dei dati a fini di contrasto) 12 e la direttiva 2002/58/CE (direttiva e-privacy) 13 , che garantiscono un elevato livello di protezione dei dati personali e la libera circolazione dei dati personali all’interno dell’Unione. Con tale quadro giuridico, la proposta mira a instaurare un quadro globale e coerente che permetta la libera circolazione dei dati nel mercato unico.

La proposta stabilisce che siano notificati i progetti di atti in materia di localizzazione dei dati a norma della direttiva (UE) 2015/1535 14 sulla trasparenza del mercato unico per permettere di stabilire se tali restrizioni siano giustificate.

Per quanto riguarda la cooperazione e la reciproca assistenza tra le autorità competenti, la proposta prevede che siano applicati tutti i meccanismi in materia. Qualora non esistano meccanismi di cooperazione, la proposta introduce misure volte a consentire alle autorità competenti di scambiare e accedere ai dati archiviati o altrimenti trattati in altri Stati membri.

Coerenza con le altre normative dell'Unione

Nel contesto del mercato unico digitale, la presente iniziativa mira a ridurre gli ostacoli per realizzare un’economia competitiva basata sui dati in Europa. In linea con la comunicazione sulla revisione intermedia per il mercato unico digitale, la Commissione sta esaminando separatamente le questioni dell’accessibilità e del riutilizzo di dati pubblici e finanziati con fondi pubblici e di dati detenuti a titolo privato ma che rivestono interesse pubblico e della responsabilità in caso di danni provocati da prodotti ad elevata intensità di dati 15 .

L’intervento si basa inoltre sul pacchetto di misure “Digitalizzazione dell’industria europea” che comprendevano, tra l’altro, l’iniziativa europea per il cloud computing 16 intesa a diffondere una soluzione di cloud ad alta capacità per l'archiviazione, la condivisione e il riutilizzo dei dati scientifici. Inoltre, l’iniziativa si basa sulla revisione del quadro europeo di interoperabilità 17 , che mira a migliorare la collaborazione digitale tra le amministrazioni pubbliche in Europa e trarrà diretto vantaggio dal libero flusso dei dati. Essa contribuisce anche all’impegno dell’UE a favore un’internet aperta 18 .

2.BASE GIURIDICA, SUSSIDIARIETÀ E PROPORZIONALITÀ

Base giuridica

La proposta rientra nell’ambito della competenza concorrente ai sensi dell’articolo 4, paragrafo 2, lettera a), del TFUE e mira a conseguire un mercato interno più competitivo e integrato per l’archiviazione e altri servizi di trattamento di dati, garantendo la libera circolazione dei dati all’interno dell’Unione. Stabilisce norme riguardanti gli obblighi di localizzazione dei dati, la messa a disposizione dei dati alle autorità competenti e la portabilità dei dati per gli utenti professionali. La proposta si basa sull’articolo 114 del TFUE, che costituisce la base giuridica generale per l’adozione di tali norme.

Sussidiarietà

La proposta rispetta il principio di sussidiarietà enunciato all'articolo 5 del trattato sull'Unione europea. L’obiettivo della presente proposta - garantire il buon funzionamento del mercato interno dei suddetti servizi, che non è limitato al territorio di uno Stato membro, nonché la libera circolazione dei dati non personali all’interno dell’Unione - non può essere conseguito dagli Stati membri a livello nazionale, in quanto il problema principale è la mobilità transfrontaliera dei dati.

Gli Stati membri sono in grado di ridurre il numero e la portata delle proprie restrizioni in materia di localizzazione dei dati, ma è probabile che ciò avverrebbe in maniera e a condizioni variate, o non avverrebbe affatto.

Ora, approcci divergenti porterebbero alla moltiplicazione degli obblighi regolamentari in tutto il mercato unico dell’UE e a costi materiali supplementari per le imprese, in particolare le piccole e medie imprese (PMI).

Proporzionalità

La proposta è conforme al principio di proporzionalità sancito all’articolo 5 del TUE: è costituita da un quadro efficace che non va al di là di quanto necessario per risolvere i problemi individuati ed è proporzionata per conseguire i suoi obiettivi.

Al fine di rimuovere gli ostacoli alla libera circolazione dei dati non personali all’interno dell’Unione, che è limitato da obblighi di localizzazione, e rafforzare la fiducia nella circolazione di dati transfrontalieri e nei servizi di archiviazione e altro trattamento di dati, la proposta si baserà in larga misura sugli strumenti e i quadri dell’UE esistenti: la direttiva sulla trasparenza, per quanto riguarda la notifica di progetti di atti relativi agli obblighi di localizzazione dei dati, e diversi quadri che garantiscono la disponibilità dei dati per il controllo di regolamentazione da parte degli Stati membri. È solo in mancanza di altri meccanismi di cooperazione, e qualora siano stati esperiti gli altri mezzi di accesso, che il meccanismo di cooperazione della presente proposta sarà utilizzato per far fronte al problema della disponibilità dei dati alle autorità nazionali competenti.

L’approccio proposto per la circolazione transfrontaliera dei dati tra Stati membri dell’Unione e tra fornitori di servizi / sistemi informatici interni mira a conseguire un equilibrio tra la regolamentazione dell’UE e gli interessi degli Stati membri in materia di sicurezza pubblica, così come un equilibrio tra regolamentazione e autoregolamentazione del mercato.

In particolare, per mitigare le difficoltà incontrate dagli utenti professionali nel cambio di fornitore di servizi e nella portabilità dei propri dati, l’iniziativa incoraggia l’autoregolamentazione mediante codici di condotta relativi alle informazioni da fornire agli utenti dei servizi di archiviazione o altro trattamento di dati. Inoltre, le modalità del cambio di fornitore e della portabilità dei dati dovrebbero essere affrontate mediante autoregolamentazione al fine di definire le migliori pratiche.

La proposta ribadisce che gli obblighi di sicurezza imposti dal diritto nazionale e dell’Unione dovrebbero essere rispettati anche quando le persone fisiche o giuridiche esternalizzano i loro servizi di archiviazione o altro trattamento di dati, anche in un altro Stato membro. Essa richiama inoltre le competenze di esecuzione conferite alla Commissione dalla direttiva sulla sicurezza delle reti e dell’informazione per far fronte alle esigenze di sicurezza, che contribuiscono anche al funzionamento del presente regolamento. Infine, sebbene la proposta renda necessario un intervento da parte delle autorità pubbliche degli Stati membri, a motivo degli obblighi di notifica/revisione e di trasparenza nonché della cooperazione amministrativa, la proposta è intesa a ridurre tali interventi alle più impellenti esigenze di cooperazione, evitando in tal modo inutili oneri amministrativi.

Definendo un quadro chiaro, associato alla cooperazione tra e con gli Stati membri ed anche all’autoregolamentazione, la presente proposta mira a migliorare la certezza del diritto e aumentare i livelli di fiducia, pur rimanendo pertinente ed efficace nel lungo termine grazie alla flessibilità del quadro di cooperazione, basata sui punti di contatto unici negli Stati membri.

La Commissione intende istituire un gruppo di esperti per ricevere consulenza sulle materie disciplinate dal presente regolamento.

Scelta dell'atto giuridico

La Commissione presenta una proposta di regolamento che può garantire l’applicazione di norme uniformi per la libera circolazione dei dati non personali contemporaneamente in tutta l’Unione. Ciò è particolarmente importante per eliminare le restrizioni esistenti e prevenirne di nuove da parte degli Stati membri, al fine di garantire la certezza del diritto per i fornitori di servizi e gli utenti interessati e, di conseguenza, aumentare la fiducia nei flussi di dati transfrontalieri così come nei servizi di archiviazione e altro trattamento di dati.

3.RISULTATI DELLE VALUTAZIONI EX POST, DELLE CONSULTAZIONI DEI PORTATORI DI INTERESSI E DELLE VALUTAZIONI D'IMPATTO

Consultazioni dei portatori di interessi

Durante un primo ciclo di raccolta di prove, nel 2015 è stata effettuata una consultazione pubblica sul quadro normativo per le piattaforme, gli intermediari online, i dati e il cloud computing e l’economia collaborativa. I due terzi degli intervistati - distribuiti uniformemente in tutti i gruppi di portatori d’interessi, comprese le PMI — hanno indicato che le restrizioni in materia di localizzazione dei dati hanno influenzato la loro strategia aziendale 19 . Informazioni sono state raccolte anche nel corso di riunioni ed eventi, seminari mirati con i principali portatori d’interessi (ad esempio, il Cloud Select Industry Group) e seminari ad hoc nell’ambito di studi.

Un secondo ciclo di raccolta delle prove, protrattosi da fine 2016 fino alla seconda metà del 2017, ha compreso una consultazione pubblica avviata nel contesto della comunicazione «Costruire un’economia dei dati europea» il 10 gennaio 2017. In base alle risposte alla consultazione pubblica, il 61,9% dei portatori d’interessi ritiene che le restrizioni dovute alla localizzazione dei dati dovrebbero essere eliminate. La maggioranza dei partecipanti (55,3% delle risposte) ritiene che un intervento legislativo sia lo strumento più adatto per affrontare restrizioni ingiustificate in materia di localizzazione, e alcuni di essi raccomandano esplicitamente l’adozione di un regolamento 20 . I fornitori di servizi IT, grandi e piccoli, stabiliti all’interno e all’esterno dell’UE, hanno espresso il maggiore sostegno alle misure di regolamentazione. I portatori di interessi hanno anche individuato gli effetti negativi delle restrizioni dovute alla localizzazione dei dati: oltre all’aumento dei costi per le imprese, tali effetti incidono sulla fornitura di un servizio ad enti pubblici o privati (il 69,6 % di tutti i portatori di interessi hanno definito tale effetto «considerevole») o sulla possibilità di entrare in un nuovo mercato (effetto «considerevole» per il 73,9% dei partecipanti). I portatori di interessi provenienti da tutti i diversi settori rispondono a tali questioni in percentuali simili. Dalla consultazione pubblica online emerge anche che il problema del cambio di fornitore di servizi è molto diffuso, dal momento che il 56,8% delle PMI ha dichiarato di aver incontrato difficoltà in tal senso.

Il dialogo strutturato con gli Stati membri ha facilitato la comprensione comune delle sfide da affrontare. In una lettera indirizzata al presidente Tusk, 16 Stati membri hanno chiesto esplicitamente l’adozione di una proposta legislativa.

La proposta tiene conto di una serie di preoccupazioni espresse dagli Stati membri e dall’industria, in particolare, la necessità di stabilire un principio trasversale di libera circolazione dei dati che stabilisca la certezza del diritto; di realizzare progressi in materia di messa a disposizione dei dati a fini regolamentari; di facilitare agli utenti professionali il cambio di fornitore di servizi di archiviazione o altro trattamento di dati e garantire la portabilità dei propri dati incoraggiando una maggiore trasparenza sulle procedure applicabili e sulle condizioni contrattuali, senza l’imposizione di norme tecniche né obblighi specifici ai fornitori di servizi in questa fase.

Assunzione e uso di perizie

Sono stati consultati studi giuridici ed economici su vari aspetti della mobilità dei dati, compresi gli obblighi di localizzazione dei dati 21 , il cambio di fornitore di servizi / la portabilità dei dati 22 e la sicurezza dei dati 23 . Altri studi sono stati commissionati sugli impatti del cloud computing 24 e della sua diffusione 25 , così come sul mercato europeo dei dati 26 . Sono stati inoltre condotti studi per esaminare misure di coregolamentazione o di autoregolamentazione nel settore del cloud computing 27 . La Commissione si è basata anche su altre fonti esterne, comprese le analisi di mercato e le statistiche (ad esempio, Eurostat).

Valutazione d'impatto

Per la presente proposta è stata effettuata una valutazione d'impatto in cui sono state prese in considerazione le seguenti opzioni: uno scenario di base (nessun intervento) e tre possibili opzioni. L’opzione 1 prevede che i diversi problemi individuati siano affrontati mediante l’autoregolamentazione e/o orientamenti e comporta un’applicazione più rigorosa della disposizioni relative a varie categorie di restrizioni ingiustificate o sproporzionate dovute alla localizzazione dei dati imposta dagli Stati membri. L’opzione 2 stabilisce i principi giuridici relativi ai diversi problemi individuati e prevede la designazione, da parte degli Stati membri, di punti di contatto unici e l’istituzione di un gruppo di esperti per discutere approcci e pratiche comuni e fornire orientamenti sui principi sanciti nell’ambito dell’opzione. Una variante 2a è stata presa in considerazione per consentire di valutare una combinazione di misure legislative volte a istituire il quadro per la libera circolazione dei dati e i punti di contatto unici e un gruppo di esperti, e di misure di autoregolamentazione per disciplinare la portabilità dei dati. L’opzione 3 consiste in un’iniziativa legislativa dettagliata, intesa a stabilire, tra l’altro, valutazioni predefinite (armonizzate) sugli elementi che costituiscono una restrizione (in)giustificata e (s)proporzionata dovuta alla localizzazione dei dati e ad introdurre un nuovo diritto di portabilità dei dati.

Il 28 settembre 2016 il comitato per il controllo normativo ha emesso il suo primo parere sulla valutazione d’impatto e ha chiesto che fosse presentata una nuova relazione. La valutazione è stata conseguentemente rivista e ripresentata al comitato per il controllo normativo l’11 agosto 2017. Nel suo secondo parere il comitato per il controllo normativo ha preso atto dell’estensione del campo di applicazione, a seguito della comunicazione della Commissione COM(2017)9 sulla creazione di un’economia europea dei dati, e del materiale supplementare sui pareri espressi dai portatori di interessi e sulle lacune dell’attuale quadro normativo. Tuttavia, il comitato ha formulato un secondo parere negativo il 25 agosto 2017, rilevando l’assenza di prove a sostegno di un nuovo diritto europeo alla portabilità dei servizi di cloud computing. Conformemente alle sue modalità operative, il comitato ha considerato definitivo il suo parere.

La Commissione ha ritenuto opportuno presentare una proposta, pur continuando a migliorare la sua analisi della valutazione d’impatto per tener conto delle osservazioni formulate dal comitato per il controllo normativo nel suo secondo parere. Il campo di applicazione della proposta è limitato alla libera circolazione dei dati non personali nell’Unione europea. Conformemente alle conclusioni del comitato, secondo il quale i fatti sembrano deporre a favore di una soluzione meno restrittiva per quanto riguarda la portabilità dei dati, l’opzione prescelta inizialmente nella valutazione d’impatto, vale a dire introdurre l’obbligo per i fornitori di agevolare il cambio di fornitore o la portabilità dei dati degli utenti, è stata abbandonata. La Commissione ha invece scelto l’opzione meno onerosa, consistente in misure di autoregolamentazione stabilite con l’aiuto della Commissione. La proposta è proporzionata e meno restrittiva, in quanto non crea un nuovo diritto di portabilità tra fornitori di servizi di archiviazione o altro trattamento di dati, ma si fonda sull’autoregolamentazione per quanto riguarda la trasparenza delle condizioni tecniche e operative relative alla portabilità dei dati.

Si è tenuto conto anche del parere del comitato per assicurare che non ci fossero sovrapposizioni e duplicazioni con la revisione del mandato dell’Agenzia europea per la sicurezza delle reti e dell’informazione (ENISA) e la creazione di un quadro europeo di cibersicurezza delle TIC.

La valutazione d’impatto ha dimostrato che l’opzione prescelta - la variante 2a - garantirebbe la rimozione effettiva delle attuali restrizioni ingiustificate in materia di localizzazione e eviterebbe efficacemente future restrizioni, in applicazione di un principio giuridico chiaro associato disposizioni in materia di riesame, notifica e trasparenza, aumentando nel contempo la certezza del diritto e la fiducia nel mercato. L’onere per le autorità pubbliche degli Stati membri sarebbe modesto e comporterebbe un costo annuo di circa 33 000 EUR in termini di risorse umane necessarie al mantenimento dei punti di contatto unici e un costo annuo compreso tra 385 e 1 925 EUR per la preparazione delle notifiche.

La proposta avrà un impatto positivo sulla concorrenza e favorirà l’innovazione in materia di servizi di archiviazione o altro trattamento di dati, incoraggerà un maggior numero di utenti a ricorrere a tali servizi e faciliterà notevolmente, in particolare per i fornitori di servizi nuovi e di piccole dimensioni, l’accesso a mercati emergenti. Contribuirà inoltre a promuovere l’uso transfrontaliero e intersettoriale dei servizi di archiviazione o altro trattamento di dati e lo sviluppo del mercato dei dati. Di conseguenza, la proposta contribuirà a trasformare la società e l’economia e offrirà nuove opportunità per i cittadini, le imprese e le amministrazioni pubbliche in Europa.

Efficienza normativa e semplificazione

La proposta si applica ai cittadini, alle amministrazioni nazionali e a tutte le imprese, comprese le microimprese e le PMI. Tutte le imprese possono beneficiare delle disposizioni sulla rimozione degli ostacoli alla mobilità dei dati. In particolare, le PMI trarranno beneficio dalla proposta, in quanto la libera circolazione dei dati non personali comporterà una riduzione diretta dei loro costi e favorirà una loro posizione più competitiva sul mercato. Esentare le PMI dall’applicazione della normativa ne comprometterebbe l’efficacia, in quanto le PMI rappresentano una quota significativa dei fornitori di servizi di archiviazione o altro trattamento di dati e sono elementi trainanti dell’innovazione in tali mercati. Inoltre, poiché è probabile che i costi derivanti dall’applicazione delle norme non siano elevati, le microimprese o le PMI non dovrebbero essere escluse dal loro ambito di applicazione.

Diritti fondamentali

Il proposto regolamento rispetta i diritti fondamentali e osserva i principi sanciti dalla Carta dei diritti fondamentali dell'Unione europea. Esso dovrebbe avere un effetto positivo sulla libertà d’impresa (articolo 16), in quanto contribuirebbe a eliminare e prevenire gli ostacoli ingiustificati o sproporzionati all’uso e alla prestazione dei servizi di trasmissione dati, come i servizi di cloud computing, nonché alla configurazione di sistemi informatici interni.

4.INCIDENZA SUL BILANCIO

La proposta comporta un modesto onere amministrativo per le autorità pubbliche degli Stati membri, dovuta all’assegnazione di risorse umane alla cooperazione tra Stati membri mediante i «punti di contatto unici» e all’applicazione delle disposizioni in materia di riesame, di notifica e di trasparenza.

5.ALTRI ELEMENTI

Piani attuativi e modalità di monitoraggio, valutazione e informazione

Una valutazione completa avrà luogo cinque anni dopo l’inizio dell’applicazione delle norme, al fine di valutarne l’efficacia e la proporzionalità. Tale valutazione sarà effettuata in linea con gli orientamenti per “legiferare meglio”.

In particolare, si tratterà di esaminare se il regolamento avrà contribuito a ridurre il numero e la portata delle restrizioni in materia di localizzazione dei dati e a migliorare la certezza del diritto e la trasparenza dei requisiti (giustificati e proporzionati) rimanenti. La valutazione dovrà inoltre esaminare se l’iniziativa avrà contribuito a creare una maggiore fiducia nella libera circolazione dei dati non personali, se gli Stati membri potranno ragionevolmente avere accesso ai dati archiviati all’estero a fini di controllo regolamentare e se il regolamento avrà portato a una maggiore trasparenza delle condizioni della portabilità dei dati.

I punti di contatto unici degli Stati membri dovrebbero diventare una fonte preziosa di informazioni durante la fase di valutazione ex post della legislazione.

Indicatori specifici (come proposto nella valutazione d’impatto) dovrebbero servire a misurare i progressi compiuti in questi settori. Si prevede anche di utilizzare i dati di Eurostat e l’indice dell’economia e della società digitali. Un’edizione speciale di Eurobarometro può essere prevista a tal fine.

Illustrazione dettagliata delle singole disposizioni della proposta

Gli articoli da 1 a 3 precisano l’obiettivo della proposta, il campo di applicazione del regolamento e le definizioni applicabili ai fini del regolamento.

L’articolo 4 stabilisce il principio della libera circolazione dei dati non personali nell’Unione. Tale principio vieta qualsiasi obbligo di localizzazione dei dati, tranne quando ciò sia giustificato da motivi di sicurezza pubblica. Inoltre, esso prevede il riesame degli obblighi esistenti, la notifica alla Commissione degli obblighi ancora esistenti o nuovi e le misure di trasparenza.

L’articolo 5 mira a garantire la disponibilità dei dati per il controllo di regolamentazione da parte delle autorità competenti. A tal fine, gli utenti non possono rifiutarsi di fornire l’accesso ai dati alle autorità competenti sulla base del fatto che i dati sono archiviati o altrimenti trattati in un altro Stato membro. Qualora un’autorità competente abbia esaurito tutti i mezzi esperibili per ottenere l’accesso ai dati, tale autorità competente può chiedere l’assistenza di un’autorità di un altro Stato membro, se non esistono meccanismi specifici di cooperazione.

L’articolo 6 dispone che la Commissione incoraggi i fornitori di servizi e gli utenti professionali ad elaborare e attuare codici di condotta che precisino le informazioni sulle condizioni di portabilità dei dati (compresi i requisiti tecnici e funzionali) che i fornitori devono mettere a disposizione degli utenti professionali in modo sufficientemente dettagliato, chiaro e trasparente prima della conclusione di un contratto. La Commissione riesaminerà la preparazione e l’effettiva attuazione di tali codici entro due anni dalla data di applicazione del presente regolamento.

A norma dell’articolo 7, ciascuno Stato membro designa un punto di contatto unico che funge da collegamento con i punti di contatto degli altri Stati membri e la Commissione per quanto riguarda l’applicazione del presente regolamento. L’articolo 7 prevede inoltre condizioni procedurali applicabili all’assistenza tra autorità competenti prevista dall’articolo 5.

Conformemente all’articolo 8, la Commissione è assistita dal comitato per la libera circolazione dei dati ai sensi del regolamento (UE) n. 182/2011.

L’articolo 9 prevede un riesame entro cinque anni dalla data di applicazione del presente regolamento.

L’articolo 10 dispone che il regolamento entrerà in vigore sei mesi dopo la sua pubblicazione.

2017/0228 (COD)

Proposta di

REGOLAMENTO DEL PARLAMENTO EUROPEO E DEL CONSIGLIO

relativo a un quadro applicabile alla libera circolazione dei dati non personali nell’Unione europea

IL PARLAMENTO EUROPEO E IL CONSIGLIO DELL'UNIONE EUROPEA,

visto il trattato sul funzionamento dell'Unione europea, in particolare l'articolo 114,

vista la proposta della Commissione europea,

previa trasmissione del progetto di atto legislativo ai parlamenti nazionali,

visto il parere del Comitato economico e sociale europeo 28 ,

visto il parere del Comitato europeo delle regioni 29 ,

deliberando secondo la procedura legislativa ordinaria,

considerando quanto segue:

(1)L’economia si sta velocemente digitalizzando. Le tecnologie dell'informazione e della comunicazione (TIC) non costituiscono più un settore a sé stante, bensì sono la base stessa di tutti i sistemi economici e delle società innovativi e moderni. I dati elettronici sono al centro di tali sistemi e, quando sono analizzati o utilizzati in associazione a servizi e prodotti, possono generare un ingente valore.

(2)Le catene del valore dei dati sono il risultato di diverse attività relative ai dati: la creazione e la raccolta; l’aggregazione e l’organizzazione; l’archiviazione e il trattamento; l’analisi, la commercializzazione e la distribuzione; l’utilizzo e il riutilizzo. Il funzionamento efficace ed efficiente dell’archiviazione e di altro trattamento di dati costituisce un elemento fondamentale di qualsiasi catena del valore dei dati. Eppure, tale funzionamento efficace ed efficiente e l’evoluzione dell’economia dei dati nell’Unione sono compromessi principalmente da due tipi di ostacoli relativi alla mobilità dei dati e al mercato interno.

(3)La libertà di stabilimento e la libertà di fornire servizi in virtù del trattato sul funzionamento dell’Unione europea si applicano ai servizi di archiviazione o altro trattamento di dati. Tuttavia, la prestazione di tali servizi è ostacolata - ove non impedita - da alcune disposizioni nazionali che impongono obblighi di localizzazione dei dati in un determinato territorio.

(4)Tali ostacoli alla libera circolazione dei servizi di archiviazione o altro trattamento di dati e al diritto di stabilimento dei fornitori di servizi di archiviazione o altro trattamento di dati discendono da disposizioni contenute nelle legislazioni nazionali degli Stati membri che impongono obblighi di localizzazione dei dati a fini di archiviazione o altro trattamento in una determinata area geografica o territorio. Altre norme o pratiche amministrative hanno un effetto equivalente quando introducono requisiti specifici che rendono più difficile archiviare o altrimenti trattare dati al di fuori di un determinato territorio o area geografica all’interno dell’Unione, ad esempio l’obbligo di utilizzare dispositivi tecnologici che siano certificati o omologati in un determinato Stato membro. L’incertezza giuridica circa la portata degli obblighi - giustificati o ingiustificati - di localizzazione dei dati limita ulteriormente le scelte disponibili agli operatori del mercato e del settore pubblico per quanto riguarda la localizzazione dei dati archiviati o altrimenti trattati.

(5)Allo stesso tempo, la mobilità dei dati all’interno dell’Unione è anche ostacolata da restrizioni relative al settore privato, quali aspetti giuridici, contrattuali e tecnici che ostacolano o impediscono agli utenti di servizi di archiviazione o altro trattamento di dati di trasferire i propri dati da un fornitore di servizi a un altro o di ritrasferirli verso i propri sistemi informatici, non da ultimo al termine del loro contratto con il fornitore di servizi.

(6)Un unico insieme di regole per tutti i partecipanti al mercato costituisce un elemento essenziale per il corretto funzionamento del mercato interno, affinché siano garantite la certezza del diritto e la parità di condizioni all'interno dell'Unione. Al fine di rimuovere gli ostacoli agli scambi ed evitare distorsioni della concorrenza derivanti da divergenti normative nazionali, nonché per prevenire il probabile insorgere di ulteriori ostacoli e distorsioni significative, è pertanto necessario adottare norme uniformi applicabili in tutti gli Stati membri.

(7)Per istituire un quadro applicabile alla libera circolazione dei dati non personali nell’Unione e creare il fondamento per lo sviluppo dell’economia dei dati e il rafforzamento della competitività dell’industria europea, è necessario stabilire regole giuridiche chiare, complete e prevedibili per l’archiviazione o altro trattamento di dati diversi dai dati personali nel mercato interno. Un approccio basato sui principi che preveda la cooperazione tra gli Stati membri e l’autoregolamentazione dovrebbe garantire un quadro normativo sufficientemente flessibile da poter tener conto dell’evoluzione delle esigenze degli utenti, dei fornitori di servizi e delle autorità nazionali nell’Unione. Onde evitare il rischio di sovrapposizioni con i meccanismi esistenti e, di conseguenza, oneri maggiori sia per gli Stati membri che per le imprese, è opportuno non introdurre norme tecniche dettagliate.

(8)Il presente regolamento dovrebbe applicarsi alle persone fisiche o giuridiche che forniscono servizi di archiviazione o altro trattamento di dati a utenti residenti o stabiliti nell’Unione, comprese quelle che forniscono servizi nell’Unione europea senza esservi stabilite.

(9)Il quadro giuridico relativo alla protezione delle persone fisiche con riguardo al trattamento di dati personali, segnatamente il regolamento (UE) 2016/679 30 , la direttiva (UE) 2016/680 31 e la direttiva 2002/58/CE 32 , non dovrebbe essere pregiudicato dal presente regolamento.

(10)A norma del regolamento (UE) 2016/679, gli Stati membri non possono limitare o vietare la libera circolazione dei dati personali all’interno dell’Unione per motivi attinenti alla protezione delle persone fisiche con riguardo al trattamento di dati personali. Il presente regolamento sancisce il medesimo principio di libera circolazione all’interno dell’Unione per i dati non personali, tranne nei casi in cui una limitazione o un divieto siano giustificati per motivi di sicurezza.

(11)Il presente regolamento dovrebbe intendere l’archiviazione e gli altri trattamenti di dati nell’accezione più ampia possibile, indipendentemente dal tipo di sistema della tecnologia dell’informazione utilizzato e sia che tali operazioni siano effettuate nei locali dell’utente o siano esternalizzate ad un fornitore di servizi di archiviazione o di altro trattamento di dati. Esso dovrebbe contemplare il trattamento di dati a diversi livelli di intensità, dall’archiviazione (Infrastructure-as-a-Service - IaaS) al trattamento di dati su piattaforme (Platform-as-a-Service - PaaS) o in applicazioni (Software-as-a-Service - SaaS). Tali servizi dovrebbero rientrare nell’ambito di applicazione del presente regolamento, a meno che l’archiviazione o altro trattamento di dati non costituisca un mero accessorio a un servizio di tipo diverso, quale la creazione di un mercato online nel quale si incontrano fornitori di servizi e consumatori o utenti professionali.

(12)Gli obblighi di localizzazione dei dati costituiscono un chiaro ostacolo alla libera prestazione di servizi di archiviazione o di altro trattamento di dati in tutta l’Unione e al mercato interno. In quanto tali, dovrebbero essere vietati tranne quando siano giustificati da motivi di pubblica sicurezza, ai sensi del diritto dell’Unione, in particolare l’articolo 52 del trattato sul funzionamento dell’Unione europea, e soddisfino il principio di proporzionalità sancito dall’articolo 5 del trattato sull’Unione europea. Al fine di dare concreta attuazione al principio della libera circolazione transfrontaliera dei dati non personali, assicurare la rapida rimozione degli obblighi di localizzazione dei dati esistenti e consentire, per motivi operativi, l’archiviazione o altro trattamento di dati in più località distribuite nel territorio dell’UE, e atteso che il presente regolamento prevede misure per garantire la disponibilità dei dati ai fini del controllo di regolamentazione, è necessario che gli Stati membri non possano invocare giustificazioni diverse da quelle relative alla sicurezza pubblica.

(13)Per garantire l’efficace applicazione del principio della libera circolazione transfrontaliera di dati non personali ed evitare l’insorgere di nuovi ostacoli al corretto funzionamento del mercato interno, è opportuno che gli Stati membri notifichino alla Commissione qualsiasi progetto di atto che preveda un nuovo obbligo di localizzazione dei dati o ne modifichi uno esistente. Tali notifiche dovrebbero essere presentate e valutate conformemente alla procedura prevista dalla direttiva (UE) 2015/1535 33 .

(14)Inoltre, onde eliminare le potenziali barriere esistenti è opportuno che gli Stati membri procedano, nel corso di un periodo transitorio di 12 mesi, al riesame degli obblighi nazionali di localizzazione dei dati esistenti e notifichino alla Commissione, corredandoli della giustificazione, tutti gli obblighi di localizzazione dei dati che ritengono conformi al presente regolamento. Tali notifiche dovrebbero consentire alla Commissione di valutare la conformità di tutti i rimanenti obblighi di localizzazione dei dati.

(15)Al fine di garantire la trasparenza degli obblighi di localizzazione dei dati negli Stati membri per le persone fisiche e giuridiche, quali fornitori e utenti di servizi di archiviazione o altro trattamento di dati, gli Stati membri dovrebbero pubblicare le informazioni relative a tali misure in un unico portale d’informazione on line, che sarà aggiornato periodicamente. Per informare adeguatamente le persone fisiche e giuridiche sugli obblighi di localizzazione dei dati in tutta l’Unione, è opportuno che gli Stati membri comunichino alla Commissione l’indirizzo di detti portali online. La Commissione dovrebbe pubblicare tali informazioni sul suo sito web.

(16)Gli obblighi di localizzazione dei dati trovano spesso giustificazione nella mancanza di fiducia nelle operazioni transfrontaliere di archiviazione o altro trattamento di dati, dovuta alla presunta indisponibilità dei dati alle autorità competenti degli Stati membri per l’esercizio delle loro funzioni, quali l’ispezione e l’audit nell’ambito di un controllo regolamentare o di vigilanza. Pertanto, il presente regolamento dovrebbe precisare chiaramente che esso non pregiudica la facoltà delle autorità competenti di chiedere e ottenere l’accesso ai dati conformemente al diritto dell’Unione o nazionale, e che tale accesso non può essere rifiutato alle autorità competenti per il fatto che i dati sono archiviati o altrimenti trattati in un altro Stato membro.

(17)Le persone fisiche o giuridiche che sono tenute a fornire dati alle autorità competenti possono conformarsi a tali obblighi fornendo e garantendo alle autorità competenti l’accesso elettronico effettivo e tempestivo ai dati, indipendentemente dallo Stato membro nel cui territorio i dati sono archiviati o altrimenti trattati. Tale accesso può essere garantito da clausole e condizioni contrattuali stipulate tra la persona fisica o giuridica soggetta all’obbligo di garantire l’accesso e il fornitore di servizi di archiviazione o altro trattamento di dati.

(18)Quando una persona fisica o giuridica soggetta all’obbligo di fornire i dati non vi ottempera, e a condizione che l’autorità competente abbia esaurito tutti i mezzi esperibili per ottenere l’accesso ai dati, l’autorità competente dovrebbe poter chiedere assistenza alle autorità competenti di altri Stati membri. In tali casi, è opportuno che le autorità competenti utilizzino gli specifici strumenti di cooperazione previsti dal diritto dell’Unione o da accordi internazionali, ad esempio, a seconda della materia trattata, rispettivamente nel settore della cooperazione di polizia, penale o civile o amministrativa: la decisione quadro 2006/960 34 , la direttiva 2014/41/UE 35 del Parlamento europeo e del Consiglio, la Convenzione sulla criminalità informatica del Consiglio d’Europa 36 , il regolamento (CE) n. 1206/2001 del Consiglio 37 , la direttiva 2006/112/CE 38 del Consiglio e il regolamento (UE) n. 904/2010 39  del Consiglio. In mancanza di tali meccanismi specifici di cooperazione, le autorità competenti dovrebbero cooperare tra loro in modo da fornire l’accesso ai dati richiesti per il tramite dei punti di contatto unici designati, salvo quando ciò sia contrario all’ordine pubblico dello Stato membro richiesto.

(19)Se una richiesta di assistenza comporta che l’autorità richiesta ottenga l’accesso a tutti i locali di una persona fisica o giuridica, compresi tutti gli strumenti e dispositivi di archiviazione o altro trattamento di dati, tale accesso deve essere conforme al diritto dell’Unione o alle norme procedurali dello Stato membro, compreso l’eventuale obbligo di una previa autorizzazione giudiziaria.

(20)La portabilità dei dati senza impedimenti è uno degli elementi fondamentali che orientano la scelta degli utenti e stimolano la concorrenza effettiva nei mercati dei servizi di archiviazione o altro trattamento di dati. Inoltre le difficoltà reali o percepite relative alla portabilità transfrontaliera dei dati compromettono la fiducia degli utenti professionali nelle offerte transfrontaliere, e di conseguenza, la loro fiducia nel mercato interno. Mentre le persone fisiche e i consumatori traggono vantaggi dalla vigente legislazione dell’Unione, essa non facilita gli utenti che intendono cambiare fornitore di servizi nell’ambito della loro attività imprenditoriale o professionale.

(21)Perché possano trarre pienamente vantaggio dall’ambiente concorrenziale, è opportuno che gli utenti professionali siano in grado di compiere scelte informate e di confrontare facilmente i singoli elementi dei servizi di archiviazione e altro trattamento di dati offerti nel mercato interno, anche sotto il profilo delle condizioni contrattuali di portabilità dei dati al termine del contratto. Per mantenere il passo con la potenziale innovazione del mercato e tener conto dell’esperienza e delle competenze dei fornitori e degli utenti professionali di servizi di archiviazione o altro trattamento di dati, le informazioni dettagliate e i requisiti operativi per la portabilità dei dati dovrebbero essere definiti dagli operatori del mercato mediante autoregolamentazione, incoraggiati e agevolati dalla Commissione, in forma di codici di condotta dell’Unione che possono comportare clausole contrattuali tipo. Qualora però detti codici di condotta non fossero introdotti ed effettivamente applicati entro un periodo di tempo ragionevole, la Commissione dovrebbe riesaminare la situazione.

(22)Per contribuire a un’efficace cooperazione tra gli Stati membri, ciascuno Stato membro dovrebbe designare un punto di contatto unico che funga da collegamento con i punti di contatto unici degli altri Stati membri e la Commissione per quanto riguarda l’applicazione del presente regolamento. Quando un’autorità competente di uno Stato membro chiede l’assistenza di un altro Stato membro per avere accesso ai dati sulla base del presente regolamento, dovrebbe presentare al punto di contatto unico di quest’ultimo una richiesta debitamente motivata, corredata di una spiegazione scritta della motivazione e delle basi giuridiche per accedere ai dati. Il punto di contatto unico designato dallo Stato membro a cui è richiesta l’assistenza dovrebbe facilitare l’assistenza tra autorità individuando l’autorità competente nello Stato membro richiesto e provvedendo ad inoltrarle la richiesta. Onde garantire una cooperazione efficace, l’autorità richiesta dovrebbe fornire tempestivamente l’assistenza richiesta o fornire informazioni sulle difficoltà che incontra nel soddisfare una richiesta di assistenza o sui motivi del rifiuto di tale richiesta.

(23)Al fine di assicurare l’efficace attuazione della procedura di assistenza tra autorità competenti degli Stati membri, la Commissione può adottare atti di esecuzione che stabiliscano formulari tipo, il regime linguistico delle richieste, i termini o altri dettagli delle procedure per le richieste di assistenza. Tali competenze dovrebbero essere esercitate conformemente al regolamento (UE) n. 182/2011 del Parlamento europeo e del Consiglio 40 .

(24)Rafforzare la fiducia nella sicurezza dell’archiviazione o di altro trattamento transfrontalieri dei dati dovrebbe ridurre la tendenza degli operatori del mercato e del settore pubblico a servirsi della localizzazione dei dati come sostituto della sicurezza dei dati. Dovrebbe inoltre migliorare la certezza del diritto per le imprese circa gli obblighi di sicurezza applicabili in caso di esternalizzazione delle loro attività di archiviazione o altro trattamento di dati, anche nei confronti di fornitori di servizi di altri Stati membri.

(25)I requisiti di sicurezza connessi all’archiviazione o altro trattamento di dati che sono applicati in modo giustificato e proporzionato sulla base del diritto dell’Unione o del diritto nazionale nel rispetto del diritto dell’Unione nello Stato membro di residenza o di stabilimento delle persone fisiche o giuridiche i cui dati sono interessati dovrebbero continuare ad applicarsi all’archiviazione o ad altro trattamento di dati in un altro Stato membro. Tali persone fisiche o giuridiche dovrebbero poter soddisfare tali requisiti direttamente o attraverso clausole contrattuali stabilite nei contratti con i fornitori.

(26)I requisiti di sicurezza stabiliti a livello nazionale dovrebbero essere necessari e proporzionati ai rischi che corre la sicurezza dell’archiviazione o altro trattamento di dati nel campo di applicazione del diritto nazionale in cui tali requisiti sono stabiliti.

(27)La direttiva (UE) 2016/1148 41 prevede misure giuridiche per rafforzare il livello generale della sicurezza informatica dell’Unione. I servizi di archiviazione o altro trattamento di dati costituiscono uno dei servizi digitali contemplati da tale direttiva. In base all’articolo 16 della direttiva, gli Stati membri sono tenuti a provvedere affinché i fornitori di servizi digitali identifichino e adottino misure tecniche e organizzative adeguate e proporzionate alla gestione dei rischi posti alla sicurezza della rete e dei sistemi informativi che utilizzano. Tali misure sono intese a garantire un livello di sicurezza adeguato al rischio esistente e dovrebbero tenere conto della sicurezza dei sistemi e degli impianti, del trattamento degli incidenti, della gestione della continuità operativa, del monitoraggio, degli audit e test e della conformità con le norme internazionali. Questi elementi devono essere ulteriormente specificati dalla Commissione mediante atti di esecuzione in base a tale direttiva.

(28)È opportuno che la Commissione riesamini le disposizioni del presente regolamento a scadenze periodiche, in particolare per valutare la necessità di modificarle in funzione dell’evoluzione delle tecnologie o del mercato.

(29)Il presente regolamento rispetta i diritti fondamentali e osserva i principi riconosciuti, in particolare, dalla Carta dei diritti fondamentali dell’Unione europea e dovrebbe essere interpretato e applicato conformemente a tali diritti e principi, principalmente il diritto alla protezione dei dati di carattere personale (articolo 8), la libertà d’impresa (articolo 16) e la libertà d’espressione e di informazione (articolo 11).

(30)Poiché l'obiettivo del presente regolamento, segnatamente garantire la libera circolazione dei dati non personali nell’Unione, non può essere conseguito in misura sufficiente dagli Stati membri, ma può invece, a motivo della sua portata e dei suoi effetti, essere conseguito meglio a livello dell’Unione, quest'ultima può intervenire in base al principio di sussidiarietà sancito dall'articolo 5 del trattato sull'Unione europea. Il presente regolamento si limita a quanto è necessario per conseguire tale obiettivo in ottemperanza al principio di proporzionalità enunciato nello stesso articolo,

HANNO ADOTTATO IL PRESENTE REGOLAMENTO:

Articolo 1
Oggetto

Il presente regolamento mira a garantire la libera circolazione dei dati diversi dai dati personali all’interno dell’Unione stabilendo disposizioni relative agli obblighi di localizzazione dei dati, alla messa a disposizione dei dati alle autorità competenti e alla portabilità dei dati per gli utenti professionali.

Articolo 2
Campo di applicazione

1.Il presente regolamento si applica alle attività di archiviazione o altro trattamento di dati elettronici diversi dai dati personali nell’Unione che:

(a)sono fornite come servizio ad utenti residenti o stabiliti nell’Unione, indipendentemente dal fatto che il fornitore di servizi sia o non sia stabilito nell’Unione, o

(b)sono effettuate da una persona fisica o giuridica residente o stabilita nell’Unione per le proprie esigenze.

2.Il presente regolamento non si applica alle attività che non rientrano nel campo di applicazione del diritto dell’Unione.

Articolo 3
Definizioni

Ai fini del presente regolamento si intende per:

1.«dati»: i dati diversi dai dati personali ai sensi dell’articolo 4, paragrafo 1, del regolamento (UE) 2016/679;

2.«archiviazione di dati»: l’archiviazione di dati in formato elettronico;

3.«progetto di atto»: un testo redatto con l’obiettivo di farlo adottare come legge, regolamento o disposizione amministrativa di carattere generale; il testo si trova ancora in fase di preparazione e lo Stato membro notificante può ancora apportarvi modifiche sostanziali;

4.«fornitore»: una persona fisica o giuridica che fornisce servizi di archiviazione o altro trattamento di dati;

5.«obbligo di localizzazione dei dati»: qualsiasi obbligo, divieto, condizione, limite o altro requisito previsto dalle disposizioni legislative, regolamentari o amministrative degli Stati membri che impone di effettuare l’archiviazione o altro trattamento di dati nel territorio di un determinato Stato membro o che ostacola l’archiviazione o altro trattamento di dati in un altro Stato membro;

6.«autorità competente»: un’autorità di uno Stato membro che ha la facoltà di ottenere accesso ai dati archiviati o trattati da una persona fisica o giuridica ai fini dell’esercizio delle sue funzioni ufficiali, come previsto dalla normativa nazionale o dell’Unione;

7.«utente»: una persona fisica o giuridica che si avvale dei servizi di archiviazione o altro trattamento di dati;

8.«utente professionale»: una persona fisica o giuridica, compreso un ente del settore pubblico, che utilizza o richiede servizi di archiviazione o altro trattamento di dati per fini connessi alla sua attività commerciale, industriale, artigianale, professionale o a una sua funzione.

Articolo 4
Libera circolazione dei dati all’interno dell’Unione

1.La localizzazione di dati a fini di archiviazione o altro trattamento all’interno dell’Unione non è limitata al territorio di un determinato Stato membro, e l’archiviazione o altro trattamento di dati in un altro Stato membro non sono vietati né limitati, a meno che ciò sia giustificato da motivi di sicurezza pubblica.

2.Gli Stati membri notificano alla Commissione qualsiasi progetto di atto che introduca un nuovo obbligo di localizzazione di dati o apporti modifiche a un vigente obbligo di localizzazione dei dati, in conformità con le procedure stabilite nella legislazione nazionale di attuazione della direttiva (UE) 2015/1535.

3.Entro 12 mesi dall’inizio dell’applicazione del presente regolamento, gli Stati membri provvedono a eliminare qualsiasi obbligo di localizzazione dei dati che non sia conforme al paragrafo 1. Se uno Stato membro ritiene che un obbligo di localizzazione dei dati sia conforme al paragrafo 1 e possa pertanto rimanere in vigore, esso notifica tale misura alla Commissione, giustificandone il mantenimento in vigore.

4.Gli Stati membri rendono pubbliche informazioni dettagliate sugli obblighi di localizzazione dei dati applicabili nel loro territorio mediante un unico portale online che tengono aggiornato.

5.Gli Stati membri comunicano alla Commissione l’indirizzo del loro portale di informazioni di cui al paragrafo 4. La Commissione pubblica tali indirizzi sul proprio sito web.

Articolo 5
Messa a disposizione di dati alle autorità competenti

1.Il presente regolamento non pregiudica la facoltà delle autorità competenti di chiedere e ottenere l’accesso a dati ai fini dell’esercizio delle loro funzioni ufficiali conformemente al diritto dell’Unione o nazionale. L’accesso ai dati da parte delle autorità competenti non può essere rifiutato per il fatto che i dati sono archiviati o altrimenti trattati in un altro Stato membro.

2.Qualora un’autorità competente abbia esaurito tutti i mezzi esperibili per ottenere l’accesso ai dati, può chiedere l’assistenza di un’autorità competente di un altro Stato membro secondo la procedura di cui all’articolo 7 e l’autorità competente richiesta fornisce l’assistenza in conformità della procedura di cui all’articolo 7, salvo quando ciò sia contrario all’ordine pubblico dello Stato membro richiesto.

3.Se una richiesta di assistenza implica che l’autorità richiesta ottenga l’accesso a tutti i locali di una persona fisica o giuridica, compresi tutti gli strumenti e dispositivi di archiviazione o altro trattamento di dati, tale accesso deve essere conforme al diritto dell’Unione o alle norme procedurali dello Stato membro.

4.Il paragrafo 2 si applica soltanto in assenza di meccanismi specifici di cooperazione in base al diritto dell’Unione o di accordi internazionali per lo scambio di dati tra le autorità competenti di diversi Stati membri.

Articolo 6
Portabilità dei dati

1.La Commissione incoraggia e facilita l’elaborazione di codici di condotta di autoregolamentazione a livello dell’Unione, al fine di definire orientamenti sulle migliori pratiche atte a facilitare il cambio di fornitore di servizi e a garantire che i fornitori di servizi comunichino agli utenti professionali informazioni sufficientemente precise, chiare e trasparenti prima della conclusione di un contratto di archiviazione o altro trattamento di dati, in relazione ai seguenti aspetti:

(a)le procedure e i requisiti tecnici, i tempi e gli oneri applicati nel caso in cui un utente professionale intenda cambiare fornitore di servizi o ritrasferire i dati nei propri sistemi informatici, comprese le procedure e il luogo in cui è effettuato il backup dei dati, i formati e i supporti dei dati disponibili, la configurazione informatica richiesta e la larghezza di banda della rete; il tempo necessario per avviare la procedura di trasferimento dei dati e il periodo in cui i dati saranno disponibili per il trasferimento; nonché le garanzie di accesso ai dati in caso di fallimento del fornitore; e

(b)i requisiti operativi per il cambio di fornitore di servizi o il trasferimento dei dati - forniti in un formato elettronico, strutturato e di uso comune - che concedano all’utente un tempo sufficiente per effettuare tale operazione.

2.La Commissione incoraggia i fornitori a dare effettiva attuazione ai codici di condotta di cui al paragrafo 1 entro un anno dalla data di applicazione del presente regolamento.

3.La Commissione riesamina l’elaborazione e l’effettiva attuazione di tali codici di condotta e l’effettiva messa a disposizione delle informazioni da parte dei fornitori entro due anni dalla data di applicazione del presente regolamento.

Articolo 7
Punti di contatto unici

1.Ciascuno Stato membro designa un punto di contatto unico che funge da collegamento con i punti di contatto unici degli altri Stati membri e la Commissione per quanto riguarda l’applicazione del presente regolamento. Gli Stati membri comunicano alla Commissione i punti di contatto unici designati e le eventuali successive modifiche.

2.Gli Stati membri assicurano che i punti di contatto unici siano dotati delle risorse necessarie per l’applicazione del presente regolamento.

3.Quando l’autorità competente di uno Stato membro chiede l’assistenza di un altro Stato membro per avere accesso ai dati a norma dell’articolo 5, paragrafo 2, essa inoltra una richiesta debitamente motivata al punto di contatto unico di quest’ultimo Stato membro, corredata di una spiegazione scritta della motivazione e delle basi giuridiche che giustifichino l’accesso ai dati.

4.Il punto di contatto unico individua l’autorità competente del proprio Stato membro e le trasmette la richiesta ricevuta a norma del paragrafo 3. L’autorità richiesta è tenuta, tempestivamente, a:

(a)rispondere all’autorità competente richiedente e a comunicare tale risposta al punto di contatto unico e

(b)informare il punto di contatto unico e l’autorità competente richiedente di eventuali difficoltà o, in caso di rigetto, in tutto o in parte, della richiesta, dei motivi di tale rigetto o della risposta parziale.

5.Tutte le informazioni scambiate nell’ambito dell’assistenza richiesta e fornita a norma dell’articolo 5, paragrafo 2, sono utilizzate solo in relazione alla questione per cui sono state richieste.

6.La Commissione può adottare atti di esecuzione per stabilire formulari tipo, il regime linguistico delle richieste, i termini o i dettagli delle procedure per le richieste di assistenza. Tali atti di esecuzione sono adottati secondo la procedura di cui all’articolo 8.

Articolo 8
Comitato

1.La Commissione è assistita dal comitato per la libera circolazione dei dati. Esso è un comitato ai sensi del regolamento (UE) n. 182/2011.

2.Nei casi in cui è fatto riferimento al presente paragrafo, si applica l'articolo 5 del regolamento (UE) n. 182/2011.

Articolo 9
Riesame

1.Non prima di [cinque anni dopo la data di cui all’articolo 10, paragrafo 2] la Commissione procede a un riesame del presente regolamento e trasmette al Parlamento europeo, al Consiglio e al Comitato economico e sociale europeo una relazione sulle sue principali conclusioni.

2.Gli Stati membri forniscono alla Commissione tutte le informazioni necessarie per preparare la relazione di cui al paragrafo 1.

Articolo 10
Disposizioni finali

1.Il presente regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell'Unione europea.

2.Il presente regolamento si applica a decorrere da sei mesi dopo la sua pubblicazione.

Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.

Fatto a Bruxelles, il

Per il Parlamento europeo    Per il Consiglio

Il presidente    Il presidente

(1) L’apprendimento automatico è un’applicazione dell’intelligenza artificiale (AI) che fornisce ai sistemi la capacità di apprendere automaticamente e perfezionarsi grazie all’esperienza senza essere esplicitamente programmati.
(2) «Costruire un’economia dei dati europea», del 10 gennaio 2017 (COM(2017)9; cfr. anche il documento di lavoro dei servizi della Commissione che accompagna la comunicazione, SWD(2017) 2 del 10 gennaio 2017.
(3) IDC and Open Evidence, European Data Market, relazione finale, 1° febbraio 2017 (SMART 2013/0063).
(4) Comunicazione della Commissione adottata il 10 maggio 2017 (COM(2017) 228 final).
(5) Altri servizi di trattamento dati comprendono fornitori di servizi quali l’analisi dei dati, i sistemi di gestione dei dati, ecc.
(6) COM/2015/0192 final.
(7) Discorso di apertura della sessione plenaria del Parlamento europeo, Strasburgo, 22 ottobre 2014.
(8) Direttiva 2000/31/CE del Parlamento europeo e del Consiglio, dell'8 giugno 2000, relativa a taluni aspetti giuridici dei servizi della società dell'informazione, in particolare il commercio elettronico, nel mercato interno (Direttiva sul commercio elettronico) (GU L 178 del 17.7.2000, pag. 1).
(9) Direttiva 2006/123/CE del Parlamento europeo e del Consiglio, del 12 dicembre 2006, relativa ai servizi nel mercato interno (GU L 376 del 27.12.2006, pag. 36).
(10) Studio LE Europe (SMART 2015/0016) e studio IDC (SMART 2013/0063).
(11) Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento di dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU L 119 del 4.5.2016, pag. 1).
(12) Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento di dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio (GU L 119 del 4.5.2016, pag. 89).
(13) Direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento di dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche) (GU L 201 del 31.7.2002, pag. 37).
(14) Direttiva (UE) 2015/1535 del Parlamento europeo e del Consiglio, del 9 settembre 2015, che prevede una procedura d'informazione nel settore delle norme e delle regolamentazioni tecniche e delle regole relative ai servizi della società dell'informazione (GU L 241 del 17.9.2015, pag. 1).
(15) COM(2017) 228 final.
(16) «Iniziativa europea per il cloud computing — Costruire un’economia competitiva dei dati e della conoscenza in Europa», 19 aprile 2016 (COM(2016) 178 final).
(17) «Quadro europeo di interoperabilità — strategia di attuazione», 23 marzo 2017 (COM(2017) 134 final).
(18) «Governance e politica di internet — Il ruolo dell’Europa nel forgiare il futuro della governance di Internet», (COM(2014) 72 final)  http://eur-lex.europa.eu/legal-content/EN/ALL/?uri=COM:2014:0072:FIN  
(19) Ulteriori dati economici sono stati sollecitati tramite uno studio sull’impatto economico del cloud computing in Europa (SMART 2014/0031, Deloitte, «Measuring the economic impact of cloud computing in Europe», 2016).
(20) 289 portatori di interessi hanno partecipato a questo quesito a scelta multipla della consultazione pubblica. Gli intervistati non sono stati invitati ad esprimersi sul tipo di azione legislativa, ma 12 portatori di interessi, di propria iniziativa, si sono avvalsi della possibilità di chiedere espressamente un regolamento in un commento scritto. La composizione di quest’ultimo gruppo è variegata: 2 Stati membri, 3 associazioni di imprese, 6 fornitori di servizi informatici e uno studio legale.
(21) SMART 2015/0054, TimeLex, Spark and Tech4i, "Cross-border Data Flow in the Digital Single Market: Study on Data Location Restrictions", D5. Relazione finale (in corso) [TimeLex Study (SMART 2015/0054)]; SMART 2015/0016, London Economics Europe, Carsa and CharlesRussellSpeechlys, "Facilitating cross border data flow in the Digital Single Market", 2016 (in corso) [LE Europe Study (SMART 2015/0016)].
(22) SMART 2016/0032, IDC and Arthur's Legal, "Switching between Cloud Service Providers", 2017 (in corso) [IDC and Arthur's Legal Study (SMART 2016/0032)].
(23) SMART 2016/0029 (Ongoing), Tecnalia, "Certification Schemes for Cloud Computing", D6.1 Inception Report.
(24) SMART 2014/0031, Deloitte, “Measuring the economic impact of cloud computing in Europe”, 2016 [Deloitte Study (SMART 2014/0031)].
(25) SMART 2013/43, IDC, "Uptake of Cloud in Europe. Follow-up of IDC Study on Quantitative estimates of the demand for Cloud computing in Europe and the likely barriers to take-up", 2014, disponibile all’indirizzo: http://ec.europa.eu/newsroom/dae/document.cfm?doc_id=9742 ; SMART 2011/0045, IDC, "Quantitative Estimates of the Demand for Cloud Computing in Europe and the Likely Barriers to Uptake" (luglio 2012).
(26) SMART 2013/0063, IDC and Open Evidence, "European Data Market. Data ownership and Access to Data - Key Emerging Issues", 1 February 2017 [IDC Study (SMART 2013/0063)].
(27) SMART 2015/0018, TimeLex, Spark, "Clarification of Applicable Legal Framework for Full, Co- or Self-Regulatory Actions in the Cloud Computing Sector" (in corso).
(28) GU C del [...], pag. [...].
(29) GU C del [...], pag. [...].
(30) Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento di dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU L 119 del 4.5.2016, pag. 1).
(31) Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento di dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio (GU L 119 del 4.5.2016, pag. 89).
(32) Direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento di dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche) (GU L 201 del 31.7.2002, pag. 37).
(33) Direttiva (UE) 2015/1535 del Parlamento europeo e del Consiglio, del 9 settembre 2015, che prevede una procedura d'informazione nel settore delle norme e delle regolamentazioni tecniche e delle regole relative ai servizi della società dell'informazione (GU L 241 del 17.9.2015, pag. 1).
(34) Decisione quadro 2006/960/GAI del Consiglio, del 18 dicembre 2006, relativa alla semplificazione dello scambio di informazioni e intelligence tra le autorità degli Stati membri dell’Unione europea incaricate dell’applicazione della legge (GU L 386 del 29.12.2006, pag. 89).
(35) Direttiva 2014/41/UE del Parlamento europeo e del Consiglio, del 3 aprile 2014, relativa all’ordine europeo di indagine penale (GU L 130 dell’1.5.2014, pag. 1).
(36) Convenzione sulla criminalità informatica del Consiglio d’Europa, STCE n. 185.
(37) Regolamento (CE) n. 1206/2001 del Consiglio, del 28 maggio 2001, relativo alla cooperazione fra le autorità giudiziarie degli Stati membri nel settore dell'assunzione delle prove in materia civile o commerciale (GU L 174 del 27.6.2001, pag. 1).
(38) Direttiva 2006/112/CE del Consiglio, del 28 novembre 2006, relativa al sistema comune d'imposta sul valore aggiunto (GU L 347 dell'11.12.2006, pag. 1).
(39) Regolamento (UE) n. 904/2010 del Consiglio, del 7 ottobre 2010, relativo alla cooperazione amministrativa e alla lotta contro la frode in materia d’imposta sul valore aggiunto ( GU L 268 del 12.10.2010 , pag. 1).
(40) Regolamento (UE) n. 182/2011 del Parlamento europeo e del Consiglio, del 16 febbraio 2011, che stabilisce le regole e i principi generali relativi alle modalità di controllo da parte degli Stati membri dell'esercizio delle competenze di esecuzione attribuite alla Commissione (GU L 55 del 28.2.2011, pag. 13).
(41) Direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell'Unione (GU L 194 del 19.7.2016, pag. 1).