Contract
<.. image(Document Cover Page. Document Number: 7853/22. Subject Codes: CODEC 432 TELECOM 136 COMPET 209 MI 254 DATAPROTECT 93 JAI 439 PE 36. Heading: NOTA INFORMATIVA. Originator: Segretariato generale del Consiglio. Recipient: Comitato dei rappresentanti permanenti/Consiglio. Subject: Proposta di REGOLAMENTO DEL PARLAMENTO EUROPEO E DEL CONSIGLIO relativo alla governance europea dei dati (Atto sulla governance dei dati) - Risultati della prima lettura del Parlamento europeo (Strasburgo, 4-7 aprile 2022). Commission Document Number: Not Set. Preceeding Document Number: Not Set. Location: Bruxelles. Date: 11 aprile 2022. Interinstitutional Files: 2020/0340(COD). Institutional Framework: Consiglio dell'Unione europea. Language: IT. Distribution Code: PUBLIC. GUID: 5482208776179605464_0) removed ..>
Consiglio dell'Unione europea
Fascicolo interistituzionale: 2020/0340(COD)
Bruxelles, 11 aprile 2022 (OR. en)
7853/22
CODEC 432
TELECOM 136
COMPET 209
MI 254
DATAPROTECT 93
JAI 439
PE 36
NOTA INFORMATIVA
Origine: Segretariato generale del Consiglio
Destinatario: Comitato dei rappresentanti permanenti/Consiglio
Oggetto: Proposta di REGOLAMENTO DEL PARLAMENTO EUROPEO E DEL
CONSIGLIO relativo alla governance europea dei dati (Atto sulla governance dei dati)
- Risultati della prima lettura del Parlamento europeo (Strasburgo, 4-7 aprile 2022)
Conformemente alle disposizioni dell'articolo 294 del TFUE e alla dichiarazione comune sulle modalità pratiche della procedura di codecisione1, hanno avuto luogo vari contatti informali tra il Consiglio, il Parlamento europeo e la Commissione al fine di raggiungere un accordo in prima lettura sul fascicolo in questione.
In questo contesto la relatrice Xxxxxxxx XXXXXXX (PPE, DE) ha presentato, a nome della commissione per l'industria, la ricerca e l'energia, un emendamento di compromesso (emendamento 248) alla proposta di regolamento in oggetto. Tale emendamento era stato concordato durante i contatti informali di cui sopra. Non sono stati presentati altri emendamenti.
1 GU C 145 del 30.6.2007, pag. 5.
Nella votazione del 6 aprile 2022, la plenaria ha adottato l'emendamento di compromesso (emendamento 248) alla proposta di regolamento in oggetto. Non sono stati adottati altri emendamenti. La proposta della Commissione così modificata costituisce la posizione del Parlamento in prima lettura, contenuta nella risoluzione legislativa riportata in allegato2.
La posizione del Parlamento rispecchia quanto precedentemente convenuto fra le istituzioni. Il Consiglio dovrebbe pertanto essere in grado di approvare detta posizione.
L'atto sarebbe quindi adottato nella formulazione corrispondente alla posizione del Parlamento.
2 La versione della posizione del Parlamento contenuta nella risoluzione legislativa è stata contrassegnata in modo da indicare le modifiche apportate dagli emendamenti alla proposta della Commissione. Le aggiunte al testo della Commissione sono evidenziate in neretto e corsivo. Le soppressioni sono indicate dal simbolo " ▌".
ALLEGATO (6.4.2022)
P9_TA(2022)0111
Atto sulla governance dei dati ***I
(Procedura legislativa ordinaria: prima lettura)
Il Parlamento europeo,
– vista la proposta della Commissione al Parlamento europeo e al Consiglio (COM(2020)0767),
– visti l'articolo 294, paragrafo 2, e l'articolo 114 del trattato sul funzionamento dell'Unione europea, a norma dei quali la proposta gli è stata presentata dalla Commissione (C9- 0377/2020),
– visto l'articolo 294, paragrafo 3, del trattato sul funzionamento dell'Unione europea,
– visto il parere del Comitato economico e sociale europeo del 27 aprile 20211,
– previa consultazione del Comitato delle regioni,
– visti l'accordo provvisorio approvato dalla commissione competente a norma dell'articolo 74, paragrafo 4, del regolamento, e l'impegno assunto dal rappresentante del Consiglio, con lettera del 15 dicembre 2021, di approvare la posizione del Parlamento europeo, in conformità dell'articolo 294, paragrafo 4, del trattato sul funzionamento dell'Unione europea,
– visto l'articolo 59 del suo regolamento,
– visti i pareri della commissione per il mercato interno e la protezione dei consumatori, della commissione giuridica e della commissione per le libertà civili, la giustizia e gli affari interni,
– vista la relazione della commissione per l'industria, la ricerca e l'energia (A9-0248/2021),
1 GU C 286 del 26.7.2021, pag. 38.
1. adotta la posizione in prima lettura figurante in appresso;
2. chiede alla Commissione di presentargli nuovamente la proposta qualora la sostituisca, la modifichi sostanzialmente o intenda modificarla sostanzialmente;
3. incarica la sua Presidente di trasmettere la posizione del Parlamento al Consiglio e alla Commissione nonché ai parlamenti nazionali.
P9_TC1-COD(2020)0340
Posizione del Parlamento europeo definita in prima lettura il 6 aprile 2022 in vista dell'adozione del regolamento (UE) 2022/... del Parlamento europeo e del Consiglio relativo alla governance europea dei dati e che modifica il regolamento (UE) 2018/1724 (Regolamento sulla governance dei dati)
(Testo rilevante ai fini del SEE)
IL PARLAMENTO EUROPEO E IL CONSIGLIO DELL'UNIONE EUROPEA,
visto il trattato sul funzionamento dell'Unione europea, in particolare l'articolo 114, vista la proposta della Commissione europea,
previa trasmissione del progetto di atto legislativo ai parlamenti nazionali, visto il parere del Comitato economico e sociale europeo1,
previa consultazione del Comitato delle regioni, deliberando secondo la procedura legislativa ordinaria2,
1 GU C 286 del 16.7.2021, pag. 38.
2 Posizione del Parlamento europeo del 6 aprile 2022.
considerando quanto segue:
(1) Il trattato sul funzionamento dell'Unione europea (TFUE) prevede l'instaurazione di un mercato interno e l'istituzione di un regime inteso a garantire l'assenza di distorsioni della concorrenza nel mercato interno. L'istituzione di norme e pratiche comuni negli Stati membri in relazione all'elaborazione di un quadro per la governance dei dati dovrebbe contribuire al conseguimento di tali obiettivi, nel pieno rispetto dei diritti fondamentali. Dovrebbe inoltre garantire il rafforzamento dell'autonomia strategica aperta dell'Unione, promuovendo nel contempo la libera circolazione dei dati a livello internazionale.
(2) Nel corso dell'ultimo decennio le tecnologie digitali hanno trasformato l'economia e la società, influenzando tutti i settori di attività nonché la vita quotidiana. I dati sono al centro di tale trasformazione: l'innovazione guidata dai dati genererà benefici enormi sia per i cittadini dell'Unione che per l'economia, ad esempio migliorando e personalizzando la medicina, fornendo nuove soluzioni di mobilità e contribuendo alla comunicazione della Commissione dell'11 dicembre 2019 sul Green Deal europeo ▌. Per rendere l'economia basata sui dati inclusiva per tutti i cittadini dell'Unione, occorre prestare particolare attenzione alla riduzione del divario digitale, al rafforzamento della partecipazione delle donne all'economia dei dati e alla promozione di competenze europee all'avanguardia nel settore tecnologico. L'economia dei dati deve essere creata in modo da consentire alle imprese, in particolare alle microimprese e alle piccole e medie imprese (PMI) quali definite nell'allegato della raccomandazione della Commissione 2003/361/CE1 e alle start-up, di prosperare, garantendo neutralità dell'accesso ai dati e portabilità e interoperabilità dei dati, ed evitando effetti di dipendenza ("lock-in"). Nella sua comunicazione del 19 febbraio 2020 su una strategia europea per i dati ("strategia europea per i dati"), la Commissione ha descritto la visione di uno spazio comune europeo di dati: un mercato interno dei dati nel quale questi ultimi possano essere utilizzati indipendentemente dal loro luogo fisico di conservazione nell'Unione, nel rispetto della normativa applicabile, che tra le altre cose potrebbe essere centrale per il rapido sviluppo delle tecnologie di intelligenza artificiale.
1 Raccomandazione 2003/361/CE della Commissione, del 6 maggio 2003, relativa alla definizione delle microimprese, piccole e medie imprese (GU L 124 del 20.5.2003, pag. 36).
La Commissione ha inoltre invitato a garantire la circolazione libera e sicura dei dati con i paesi terzi, soggetta a eccezioni e restrizioni per ragioni di pubblica sicurezza, ordine pubblico e nell'ottica di altri legittimi obiettivi di politica pubblica dell'Unione ▌, in linea con gli obblighi internazionali, anche in materia di diritti fondamentali. Al fine di trasformare tale visione in realtà, la Commissione ha proposto di istituire, per la condivisione e la messa in comune dei dati, spazi comuni europei di dati specifici per dominio. Come proposto nella strategia europea per i dati, tali spazi comuni europei di dati potrebbero interessare settori quali la sanità, la mobilità, l'industria manifatturiera, i servizi finanziari, l'energia o l'agricoltura, o una combinazione di tali settori, ad esempio l'energia e il clima, nonché ambiti strategici quali il Green Deal europeo o gli spazi europei di dati per la pubblica amministrazione o le competenze. Gli spazi comuni europei di dati dovrebbero rendere i dati reperibili, accessibili, interoperabili e riutilizzabili ("principi FAIR per i dati"), garantendo nel contempo un elevato livello di cibersicurezza. Laddove esista parità di condizioni nell'economia dei dati, le imprese competono sulla qualità dei servizi e non sulla quantità dei dati che controllano. Ai fini della progettazione, della creazione e del mantenimento delle condizioni di parità nell'economia dei dati, è necessaria una solida governance in cui i portatori di interessi di uno spazio comune europeo di dati devono partecipare ed essere rappresentati.
(3) È necessario migliorare le condizioni per la condivisione dei dati nel mercato interno, creando un quadro armonizzato per gli scambi di dati e stabilendo alcuni requisiti di base per la governance dei dati, prestando particolare attenzione a facilitare la cooperazione tra gli Stati membri. Il presente regolamento dovrebbe mirare a sviluppare ulteriormente il mercato interno digitale senza frontiere e una società e un'economia dei dati antropocentriche, affidabili e sicure. La normativa settoriale a livello dell'Unione può sviluppare, adeguare e proporre elementi nuovi e complementari, a seconda delle specificità del settore, come nel caso della prevista normativa dell'Unione in materia di spazio europeo dei dati sanitari e di accesso ai dati dei veicoli.
Taluni settori economici sono inoltre già disciplinati dalla normativa settoriale a livello dell'Unione che comprende norme in materia di condivisione di dati o di accesso ai dati a livello transfrontaliero o dell'Unione, ad esempio la direttiva 2011/24/UE del Parlamento europeo e del Consiglio1 nel contesto dello spazio europeo dei dati sanitari e i pertinenti atti legislativi in materia di trasporti, come i regolamenti (UE) 2019/12392 e
(UE) 2020/10563 e la direttiva 2010/40/UE4 del Parlamento europeo e del Consiglio nel contesto dello spazio europeo dei dati sulla mobilità.
1 Direttiva 2011/24/UE del Parlamento europeo e del Consiglio, del 9 marzo 2011, concernente l'applicazione dei diritti dei pazienti relativi all'assistenza sanitaria transfrontaliera (GU L 88 del 4.4.2011, pag. 45).
2 Regolamento (UE) 2019/1239 del Parlamento europeo e del Consiglio, del
20 giugno 2019, che istituisce un sistema di interfaccia xxxxx xxxxxxxxx xxxxxxx x xxxxxx xx xxxxxxxxx 0000/00/XX (XX L 198 del 25.7.2019, pag. 64).
3 Regolamento (UE) 2020/1056 del Parlamento europeo e del Consiglio, del 15 luglio 2020, relativo alle informazioni elettroniche sul trasporto merci (GU L 249 del 31.7.2020, pag. 33).
4 Direttiva 2010/40/UE del Parlamento europeo e del Consiglio, del 7 luglio 2010, sul quadro generale per la diffusione dei sistemi di trasporto intelligenti nel settore del trasporto stradale e nelle interfacce con altri modi di trasporto (GU L 207 del 6.8.2010, pag. 1).
Il presente regolamento dovrebbe pertanto lasciare impregiudicati i regolamenti (CE) n. 223/20091, (UE) 2018/8582 e (UE) 2018/18073 nonché le direttive 2000/31/CE4,
2001/29/CE5, 2004/48/CE6, 2007/2/CE7, 2010/40/UE, (UE) 2015/8498, (UE) 2016/9439,
(UE) 2017/113210, (UE) 2019/79011 e (UE) 2019/10241 del Parlamento europeo e del
1 Regolamento (CE) n. 223/2009 del Parlamento europeo e del Consiglio,
dell'11 marzo 2009, relativo alle statistiche europee e che abroga il regolamento (CE, Euratom) n. 1101/2008 del Parlamento europeo e del Consiglio, relativo alla trasmissione all'Istituto statistico delle Comunità europee di dati statistici protetti dal segreto, il regolamento (CE) n. 322/97 del Consiglio, relativo alle statistiche comunitarie, e la decisione 89/382/CEE, Euratom del Consiglio, che istituisce un comitato del programma statistico delle Comunità europee (GU L 87 del 31.3.2009, pag. 164).
2 Regolamento (UE) 2018/858 del Parlamento europeo e del Consiglio, del 30 maggio 2018, relativo all'omologazione e alla vigilanza del mercato dei veicoli a motore e dei loro rimorchi, nonché dei sistemi, dei componenti e delle entità tecniche indipendenti destinati a tali veicoli, che modifica i regolamenti (CE) n. 715/2007 e (CE) n. 595/2009 e abroga la direttiva 2007/46/CE (GU L 151 del 14.6.2018, pag. 1).
3 Regolamento (UE) 2018/1807 del Parlamento europeo e del Consiglio, del
14 novembre 2018, relativo a un quadro applicabile alla libera circolazione dei dati non personali nell'Unione europea (GU L 303 del 28.11.2018, pag. 59).
4 Direttiva 2000/31/CE del Parlamento europeo e del Consiglio, dell'8 giugno 2000, relativa a taluni aspetti giuridici dei servizi della società dell'informazione, in particolare il commercio elettronico, nel mercato interno ("Direttiva sul commercio elettronico") (GU
L 178 del 17.7.2000, pag. 1).
5 Direttiva 2001/29/CE del Parlamento europeo e del Consiglio, del 22 maggio 2001, sull'armonizzazione di taluni aspetti del diritto d'autore e dei diritti connessi nella società dell'informazione (GU L 167 del 22.6.2001, pag. 10).
6 Direttiva 2004/48/CE del Parlamento europeo e del Consiglio, del 29 aprile 2004, sul rispetto dei diritti di proprietà intellettuale (GU L 157 del 30.4.2004, pag. 45).
7 Direttiva 2007/2/CE del Parlamento europeo e del Consiglio, del 14 marzo 2007, che istituisce un'Infrastruttura per l'informazione territoriale nella Comunità europea (Inspire) (GU L 108 del 25.4.2007, pag. 1).
8 Direttiva (UE) 2015/849 del Parlamento europeo e del Consiglio, del 20 maggio 2015, relativa alla prevenzione dell'uso del sistema finanziario a fini di riciclaggio o finanziamento del terrorismo, che modifica il regolamento (UE) n. 648/2012 del Parlamento europeo e del Consiglio e che abroga la direttiva 2005/60/CE del Parlamento europeo e del Consiglio e la direttiva 2006/70/CE della Commissione (GU L 141 del 5.6.2015, pag. 73).
9 Direttiva (UE) 2016/943 del Parlamento europeo e del Consiglio, dell'8 giugno 2016, sulla protezione del know-how riservato e delle informazioni commerciali riservate (segreti commerciali) contro l'acquisizione, l'utilizzo e la divulgazione illeciti (GU L 157 del 15.6.2016, pag. 1).
10 Direttiva (UE) 2017/1132 del Parlamento europeo e del Consiglio, del 14 giugno 2017, relativa ad alcuni aspetti di diritto societario (GU L 169 del 30.6.2017, pag. 46).
11 Direttiva (UE) 2019/790 del Parlamento europeo e del Consiglio, del 17 aprile 2019, sul diritto d'autore e sui diritti connessi nel mercato unico digitale e che modifica le direttive 00/0/XX x 0000/00/XX (XX L 130 del 17.5.2019, pag. 92).
Consiglio e ogni altra normativa settoriale dell'Unione che disciplina l'accesso ai dati e il loro riutilizzo. Il presente regolamento dovrebbe lasciare impregiudicato il diritto dell'Unione e nazionale in materia di accesso ai dati e relativo utilizzo ai fini ▌ della prevenzione, dell'indagine, dell'accertamento e del perseguimento di reati o dell'esecuzione di sanzioni penali, nonché di cooperazione internazionale in tale contesto. Il presente regolamento dovrebbe lasciare impregiudicate le competenze degli Stati membri per quanto riguarda le loro attività in materia di sicurezza pubblica, difesa e sicurezza nazionale. Il riutilizzo dei dati protetti per tali motivi e detenuti da enti pubblici, inclusi i dati relativi alle procedure di appalto che rientrano nell'ambito di applicazione della direttiva 2009/81/CE del Parlamento europeo e del Consiglio2, non dovrebbe essere disciplinato dal presente regolamento.
1 Direttiva (UE) 2019/1024 del Parlamento europeo e del Consiglio, del 20 giugno 2019, relativa all'apertura dei dati e al riutilizzo dell'informazione del settore pubblico (GU L 172 del 26.6.2019, pag. 56).
2 Direttiva 2009/81/CE del Parlamento europeo e del Consiglio, del 13 luglio 2009, relativa al coordinamento delle procedure per l'aggiudicazione di taluni appalti di lavori, di forniture e di servizi nei settori della difesa e della sicurezza da parte delle amministrazioni aggiudicatrici/degli enti aggiudicatori, e recante modifica delle
direttive 0000/00/XX x 0000/00/XX (XX L 216 del 20.8.2009, pag. 76).
È opportuno istituire un regime orizzontale per il riutilizzo di talune categorie di dati protetti detenuti da enti pubblici e per la fornitura di servizi di intermediazione dei dati e di servizi basati sull'altruismo dei dati nell'Unione. Le caratteristiche specifiche dei diversi settori potrebbero imporre la progettazione di sistemi settoriali basati sui dati, sulla base dei requisiti del presente regolamento. I fornitori di servizi di intermediazione dei dati che soddisfano i requisiti stabiliti nel presente regolamento dovrebbero essere in grado di utilizzare il titolo di "fornitore di servizi di intermediazione dei dati riconosciuto nell'Unione". Le persone giuridiche che intendono sostenere obiettivi di interesse generale mettendo a disposizione quantità considerevoli di dati pertinenti sulla base dell'altruismo dei dati e che soddisfano i requisiti stabiliti nel presente regolamento dovrebbero potersi registrare in qualità di "organizzazione per l'altruismo dei dati riconosciuta nell'Unione" e utilizzare tale titolo. Qualora la normativa settoriale, dell'Unione o nazionale, imponga agli enti pubblici, a tali fornitori di servizi di intermediazione dei dati o tali persone giuridiche (organizzazioni per l'altruismo dei dati riconosciute) di rispettare specifici requisiti tecnici, amministrativi o organizzativi aggiuntivi, anche attraverso un regime di autorizzazione o certificazione, si dovrebbero applicare anche le disposizioni di tale normativa settoriale dell'Unione o nazionale.
(4) Il presente regolamento dovrebbe lasciare impregiudicati i regolamenti (UE) 2016/6791 e (UE) 2018/17252 del Parlamento europeo e del Consiglio, , le direttive 2002/58/CE3 e (UE) 2016/6804 del Parlamento europeo e del Consiglio e le corrispondenti disposizioni del diritto nazionale, anche qualora i dati personali e non personali di una serie di dati siano indissolubilmente legati. In particolare, il presente regolamento non dovrebbe intendersi, in particolare, come creazione di una nuova base giuridica per il trattamento dei dati personali per nessuna delle attività regolamentate, né come modifica dei requisiti in materia di informazione stabiliti nel regolamento (UE) 2016/679. L'attuazione del presente regolamento non dovrebbe impedire i trasferimenti transfrontalieri di dati in conformità del capo V del regolamento (UE) 2016/679. In caso di conflitto tra il presente regolamento e il diritto dell'Unione in materia di protezione dei dati personali o del diritto nazionale adottato conformemente a tale diritto dell'Unione, il pertinente diritto dell'Unione o nazionale in materia di protezione dei dati personali dovrebbe prevalere. Dovrebbe essere possibile considerare le autorità per la protezione dei dati autorità competenti ai sensi del presente regolamento. Qualora altre autorità fungano da autorità competenti ai sensi del presente regolamento, esse dovrebbero agire senza pregiudicare i poteri di controllo e le competenze delle autorità per la protezione dei dati ai sensi del regolamento (UE) 2016/679.
1 Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 00/00/XX (xxxxxxxxxxx xxxxxxxx xxxxx xxxxxxxxxx xxx xxxx) (XX L 119 del 4.5.2016, pag. 1).
2 Regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell'Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE (GU L 295 del 21.11.2018, pag. 39).
3 Direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche) (GU L 201 del 31.7.2002, pag. 37).
4 Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 0000/000/XXX xxx Xxxxxxxxx (XX L 119 del 4.5.2016, pag. 89).
(5) L'azione a livello dell'Unione è necessaria per aumentare la fiducia nella condivisione dei dati istituendo adeguati meccanismi che garantiscano il controllo da parte degli interessati e dei titolari dei dati sui dati che li riguardano e al fine di affrontare altri ostacoli al buon funzionamento di un'economia competitiva basata sui dati. Tale azione non dovrebbe pregiudicare gli obblighi e gli impegni negli accordi commerciali internazionali conclusi dall'Unione. Un quadro di governance a livello dell'Unione dovrebbe avere l'obiettivo di creare fiducia tra gli individui e le imprese per quanto riguarda l'accesso ai dati, la loro condivisione e il loro controllo, utilizzo e riutilizzo, in particolare stabilendo adeguati meccanismi per gli interessati affinché conoscano ed esercitino fattivamente i propri diritti nonché per quanto riguarda il riutilizzo di alcune tipologie di dati detenuti dagli enti pubblici, la fornitura di servizi ▌ da parte dei fornitori di servizi di intermediazione dei dati agli interessati, ai titolari e agli utenti dei dati , nonché la raccolta e il trattamento dei dati messi a disposizione a fini altruistici da persone fisiche e giuridiche. In particolare, una maggiore trasparenza per quanto riguarda la finalità dell'utilizzo dei dati e le condizioni in cui i dati sono conservati dalle imprese può contribuire ad aumentare la fiducia.
(6) L'idea che i dati generati o raccolti da enti pubblici o altre entità a carico dei bilanci pubblici debbano apportare benefici alla società è da tempo parte integrante delle politiche dell'Unione. La direttiva (UE) 2019/1024 e la normativa settoriale dell'Unione garantiscono che gli enti pubblici rendano facilmente disponibile per l'utilizzo e il riutilizzo una quota maggiore dei dati che producono. Spesso talune categorie di dati conservati in basi di dati pubbliche, quali dati commerciali riservati, dati soggetti a segreto statistico e dati protetti da diritti di proprietà intellettuale di terzi, compresi segreti commerciali e dati personali, ▌spesso non sono messe a disposizione, nemmeno per attività di ricerca o di innovazione nel pubblico interesse, nonostante tale disponibilità sia possibile in conformità del diritto dell'Unione applicabile, in particolare del regolamento
(UE) 2016/679 e delle direttive 2002/58/CE e (UE) 2016/680. A causa della sensibilità di tali dati, prima che essi siano messi a disposizione si devono soddisfare alcuni requisiti procedurali tecnici e giuridici al fine, se non altro, di garantire il rispetto dei diritti di terzi sui dati in questione o di limitare l'effetto negativo sui diritti fondamentali, sul principio di non discriminazione e sulla protezione dei dati. L'adempimento di tali requisiti risulta abitualmente molto dispendioso in termini di tempo e richiede un livello molto elevato di conoscenze. Ciò ha determinato un utilizzo insufficiente di tali dati. Per quanto alcuni Stati membri stiano istituendo strutture, procedure o adottando norme per agevolare tale tipo di riutilizzo, ciò non accade in tutta l'Unione. Al fine di agevolare l'utilizzo dei dati per la ricerca e l'innovazione europee da parte di soggetti pubblici e privati, sono necessarie condizioni chiare per l'accesso a tali dati e il loro utilizzo in tutta l'Unione.
(7) Esistono tecniche che consentono l'analisi di banche dati contenenti dati personali, quali l'anonimizzazione, ▌la privacy differenziale, la generalizzazione, la soppressione e la casualizzazione, l'utilizzo di dati sintetici o metodi analoghi, nonché altri metodi all'avanguardia di tutela della vita privata che potrebbero contribuire a un trattamento dei dati maggiormente rispettoso della vita privata. Gli Stati membri dovrebbero fornire sostegno agli enti pubblici affinché utilizzino in maniera ottimale tali tecniche, rendendo così disponibili quanti più dati possibili per la condivisione. L'applicazione di tali tecniche, unite a valutazioni d'impatto globali in materia di protezione dei dati e ad altre tutele può contribuire a una maggiore sicurezza nell'utilizzo e riutilizzo dei dati personali e dovrebbe garantire il riutilizzo sicuro ▌ dei dati commerciali riservati a fini statistici, di ricerca e di innovazione. In molti casi l'applicazione di tali tecniche, valutazioni d'impatto e altre tutele implica che i dati possano essere utilizzati e riutilizzati solamente in un ambiente di trattamento sicuro fornito o controllato dall'ente pubblico. L'uso di simili ambienti di trattamento sicuro è già stato sperimentato a livello dell'Unione ai fini della ricerca su microdati statistici, sulla base del regolamento (UE) n. 557/2013 della Commissione1. Per quanto concerne i dati personali, il trattamento dei dati personali dovrebbe in generale essere basato su una o più delle basi giuridiche per il trattamento dei dati personali previste agli articoli 6 e 9 del regolamento (UE) 2016/679.
1 Regolamento (UE) n. 557/2013 della Commissione, del 17 giugno 2013, che applica il regolamento (CE) n. 223/2009 del Parlamento europeo e del Consiglio relativo alle statistiche europee per quanto riguarda l'accesso ai dati riservati destinati a fini scientifici e che abroga il regolamento (CE) n. 831/2002 della Commissione (GU L 164 del 18.6.2013, pag. 16).
(8) A norma del regolamento (UE) 2016/679, i principi di protezione dei dati non dovrebbero applicarsi a informazioni anonime, vale a dire informazioni che non si riferiscono a una persona fisica identificata o identificabile, o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l'identificazione dell'interessato. La reidentificazione degli interessati a partire da insiemi di dati anonimizzati dovrebbe essere vietata. Ciò dovrebbe lasciare impregiudicata la possibilità di svolgere ricerche sulle tecniche di anonimizzazione, segnatamente al fine di garantire la sicurezza delle informazioni, migliorare le tecniche di anonimizzazione esistenti e contribuire alla solidità generale dell'anonimizzazione, a norma del regolamento (UE) 2016/679.
(9) Al fine di facilitare la protezione dei dati personali e riservati e accelerare la messa a disposizione di tali dati per il riutilizzo ai sensi del presente regolamento, gli Stati membri dovrebbero incoraggiare gli enti pubblici a creare e mettere a disposizione i dati in conformità del principio dell'"apertura fin dalla progettazione e per impostazione predefinita" di cui all'articolo 5, paragrafo 2, della direttiva (UE) 2019/1024 e promuovere la creazione e la raccolta di dati in formati e strutture che facilitino l'anonimizzazione in tal senso.
(10) Le categorie di dati detenuti da enti pubblici, che dovrebbero essere soggetti al riutilizzo a norma del presente regolamento, non rientrano nell'ambito di applicazione della direttiva (UE) 2019/1024, che esclude i dati che non sono accessibili per motivi di riservatezza commerciale o statistica e i dati che figurano in opere o in altro materiale su cui terzi detengono diritti di proprietà intellettuale. I dati commerciali riservati comprendono i dati protetti da segreti commerciali, il know-how protetto e qualsiasi altra informazione la cui divulgazione indebita avrebbe un impatto sulla posizione di mercato o sulla solidità finanziaria dell'impresa. Il presente regolamento si dovrebbe applicare ai dati personali che non rientrano nell'ambito di applicazione della direttiva (UE) 2019/1024 nella misura in cui il regime di accesso esclude o limita l'accesso a tali dati per motivi di protezione dei dati, di vita privata e di integrità dell'individuo, conformemente in particolare alle norme in materia di protezione dei dati. Il riutilizzo di dati che possono contenere segreti commerciali dovrebbe avere luogo senza pregiudicare la direttiva (UE) 2016/943, che istituisce il quadro per l'acquisizione, l'utilizzo e la divulgazione leciti dei segreti commerciali.
(11) Il presente regolamento non dovrebbe introdurre l'obbligo di consentire il riutilizzo dei dati detenuti da enti pubblici. In particolare, ciascuno Stato membro dovrebbe pertanto poter decidere se i dati sono resi accessibili per il riutilizzo, anche in termini di finalità e portata di tale accesso. Il presente regolamento dovrebbe integrare e lasciare impregiudicati gli obblighi più specifici degli enti pubblici, stabiliti nella normativa settoriale dell'Unione o nazionale, quanto alla facoltà di consentire il riutilizzo dei dati. L'accesso del pubblico ai documenti ufficiali può essere considerato di interesse pubblico. Tenuto conto del ruolo dell'accesso del pubblico ai documenti ufficiali e della trasparenza in una società democratica, il presente regolamento dovrebbe lasciare altresì impregiudicato il diritto dell'Unione e nazionale sulla concessione dell'accesso ai documenti ufficiali e sulla loro divulgazione. L'accesso ai documenti ufficiali può essere concesso, in particolare, conformemente al diritto nazionale senza imporre condizioni specifiche o imponendo condizioni specifiche non previste dal presente regolamento.
(12) Il regime di riutilizzo previsto dal presente regolamento dovrebbe applicarsi a dati la cui fornitura è parte dei compiti di servizio pubblico degli enti pubblici in questione, ai sensi del diritto o di altre norme vincolanti negli Stati membri. In mancanza di tali norme, i compiti di servizio pubblico dovrebbero essere definiti in conformità delle comuni prassi amministrative degli Stati membri, a condizione che l'ambito di detti compiti sia trasparente e soggetto a revisione. I compiti di servizio pubblico potrebbero essere definiti in linea generale o caso per caso per i singoli enti pubblici. Poiché le imprese pubbliche non rientrano nella definizione di ente pubblico, i dati detenuti da imprese pubbliche non dovrebbero essere contemplati dal presente regolamento. I dati detenuti da istituti culturali, quali biblioteche, archivi e musei, nonché orchestre, compagnie d'opera o di balletto e teatri, e da istituti di istruzione non dovrebbero rientrare nel campo di applicazione del presente regolamento in quanto le opere e gli altri documenti in loro possesso sono prevalentemente coperti da diritti di proprietà intellettuale di terzi. Anche le organizzazioni che svolgono attività di ricerca e le organizzazioni che finanziano la ricerca potrebbero essere organizzate come enti pubblici o enti di diritto pubblico. Il presente regolamento dovrebbe applicarsi a tali organizzazioni ibride solo nella loro qualità di organizzazioni che svolgono attività di ricerca. Se le organizzazioni che svolgono attività di ricerca detengono dati nell'ambito di una specifica associazione pubblico-privato con organizzazioni del settore privato o altri enti pubblici, enti di diritto pubblico o organizzazioni ibride che svolgono attività di ricerca, ossia organizzate come enti pubblici o imprese pubbliche, con lo scopo principale di svolgere attività di ricerca, anche tali dati non dovrebbero essere contemplati dal presente regolamento. Se del caso, gli Stati membri dovrebbero poter applicare il presente regolamento alle imprese pubbliche o private che esercitano funzioni del settore pubblico o forniscono servizi di interesse generale.
Lo scambio di dati, esclusivamente nell'adempimento dei rispettivi compiti di servizio pubblico, tra enti pubblici nell'Unione o tra enti pubblici nell'Unione ed enti pubblici in paesi terzi o organizzazioni internazionali, nonché lo scambio di dati tra ricercatori a fini di ricerca scientifica non commerciale, non dovrebbe essere soggetto alle disposizioni del presente regolamento relative al riutilizzo di determinate categorie di dati protetti detenuti da enti pubblici.
(13) È opportuno che gli enti pubblici rispettino il diritto della concorrenza nello stabilire i principi per il riutilizzo dei dati da essi detenuti, evitando ▌ la conclusione di accordi che potrebbero avere quale obiettivo o conseguenza la creazione di diritti esclusivi per il riutilizzo di taluni dati. Accordi di tale tenore dovrebbero essere possibili solo se giustificati e necessari per la fornitura di un servizio o di un prodotto di interesse generale. Tale caso potrebbe presentarsi qualora l'utilizzo esclusivo dei dati rappresenti l'unico modo per massimizzare i benefici sociali dei dati in questione, ad esempio quando esiste un'unica entità (che si è specializzata nel trattamento di uno specifico set di dati) in grado di fornire il servizio o il prodotto che consente all'ente pubblico di fornire a sua volta un servizio ▌ o un prodotto di interesse generale. Simili accordi dovrebbero tuttavia essere conclusi in conformità del diritto dell'Unione o nazionale applicabile ed essere soggetti a un riesame periodico basato su un'analisi di mercato al fine di accertare che tale esclusività continui ad essere necessaria. Tali accordi dovrebbero inoltre rispettare, ove opportuno, le pertinenti norme in materia di aiuti di Stato e dovrebbero essere conclusi per una durata limitata che non dovrebbe essere superiore a 12 mesi. Al fine di garantire trasparenza, è opportuno pubblicare online tali accordi di esclusiva, in una forma conforme al pertinente diritto dell'Unione in materia di appalti pubblici. Qualora un diritto esclusivo di riutilizzo dei dati non rispetti il presente regolamento, tale diritto esclusivo dovrebbe essere invalido.
(14) Gli accordi di esclusiva vietati e altre pratiche o accordi riguardanti il riutilizzo di dati detenuti da enti pubblici che non concedono espressamente diritti esclusivi, ma che lasciano ragionevolmente prevedere una possibile limitazione della disponibilità dei dati per il riutilizzo e che sono stati conclusi o erano già validi prima della data di entrata in vigore del presente regolamento, non dovrebbero essere rinnovati dopo la scadenza della loro validità. Gli accordi a più lungo termine o conclusi per un periodo indeterminato dovrebbero essere risolti entro 30 mesi dalla data di entrata in vigore del presente regolamento.
(15) Il presente regolamento dovrebbe stabilire le condizioni per il riutilizzo dei dati protetti da applicarsi agli enti pubblici che, a norma del diritto nazionale, sono designati come competenti per consentire o negare l'accesso per il riutilizzo, e dovrebbe lasciare impregiudicati i diritti e gli obblighi relativi all'accesso a tali dati. Tali condizioni dovrebbero essere non discriminatorie, trasparenti, proporzionate e oggettivamente giustificate e allo stesso tempo non dovrebbero limitare la concorrenza, con un'attenzione specifica alla promozione dell'accesso a tali dati da parte delle PMI e delle start-up. Le condizioni per il riutilizzo dovrebbero essere concepite in modo da promuovere la ricerca scientifica di modo che, ad esempio, il fatto di privilegiare la ricerca scientifica dovrebbe di norma essere considerato non discriminatorio. Gli enti pubblici che hanno facoltà di consentire il riutilizzo dovrebbero disporre dei mezzi tecnici necessari per garantire la protezione dei diritti e degli interessi di terzi e dovrebbe essere conferito loro il potere di chiedere le informazioni necessarie al riutilizzatore. È opportuno limitare le condizioni cui è subordinato il riutilizzo dei dati a quanto necessario per tutelare i diritti e gli interessi di terzi nei dati e l'integrità dei sistemi informatici e di comunicazione degli enti pubblici. Gli enti pubblici dovrebbero applicare le condizioni che meglio rispondono agli interessi del riutilizzatore senza comportare un onere sproporzionato per gli enti pubblici.
Le condizioni cui è subordinato il riutilizzo dei dati dovrebbero essere concepite in modo da assicurare garanzie efficaci per quanto concerne la protezione dei dati personali.
Prima della loro trasmissione, i dati personali dovrebbero essere ▌anonimizzati, affinché non sia ▌consentita l'identificazione degli interessati, e i dati contenenti informazioni commerciali riservate dovrebbero essere modificati in modo tale da non divulgare alcuna informazione riservata. Qualora la fornitura di dati anonimizzati o modificati non rispondesse alle esigenze del riutilizzatore, a condizione che siano stati soddisfatti i requisiti di svolgere una valutazione d'impatto in materia di protezione dei dati e consultare l'autorità di controllo ai sensi degli articoli 35 e 36 del regolamento
(UE) 2016/679 e qualora i rischi per i diritti e gli interessi degli interessati risultino minimi, potrebbe essere consentito il riutilizzo in loco o remoto dei dati in un ambiente di trattamento sicuro. Ciò potrebbe costituire una soluzione adeguata per il riutilizzo dei dati pseudonimizzati. È opportuno che le analisi dei dati in tali ambienti di trattamento sicuri siano controllate dall'ente pubblico al fine di proteggere i diritti e gli interessi di terzi. In particolare, i dati personali dovrebbero essere trasmessi a terzi per il riutilizzo soltanto laddove una base giuridica conforme alla legislazione sulla protezione dei dati consenta tale trasmissione.
I dati non personali dovrebbero essere trasmessi solo quando non vi è motivo di ritenere che la combinazione di set di dati non personali condurrebbe all'identificazione degli interessati. Ciò dovrebbe valere anche per i dati pseudonimizzati che mantengono il loro status di dati personali. In caso di reidentificazione degli interessati, in aggiunta a un obbligo di notifica di tale violazione a un'autorità di controllo e all'interessato a norma del regolamento (UE) 2016/679, dovrebbe applicarsi un obbligo di notifica all’ente pubblico di tale violazione dei dati. Gli enti pubblici dovrebbero, se del caso, agevolare il riutilizzo dei dati sulla base del consenso degli interessati o dell'autorizzazione dei titolari dei dati al riutilizzo dei dati che li riguardano mediante mezzi tecnici adeguati. A tale riguardo, l'ente pubblico dovrebbe adoperarsi al meglio per fornire assistenza ai potenziali riutilizzatori nella ricerca di tale consenso o autorizzazione, istituendo meccanismi tecnici che permettano di trasmettere le richieste di consenso formulate dai riutilizzatori, ove ciò sia fattibile nella pratica. Non dovrebbe essere fornita nessuna informazione che consenta ai riutilizzatori di contattare direttamente gli interessati o i titolari dei dati. Nel trasmettere una richiesta di consenso o di autorizzazione, l'ente pubblico dovrebbe garantire che l'interessato sia chiaramente informato della possibilità di rifiutare il consenso o l'autorizzazione.
(16) Al fine di facilitare e incoraggiare l'utilizzo dei dati detenuti da enti pubblici a fini di ricerca scientifica, gli enti pubblici sono incoraggiati a sviluppare un approccio armonizzato e processi armonizzati intesi a rendere tali dati facilmente accessibili a fini di ricerca scientifica nell'interesse pubblico. Ciò potrebbe comportare, tra l'altro, la creazione di procedure amministrative semplificate, la formattazione standardizzata dei dati, metadati informativi sulle scelte metodologiche e di raccolta dei dati e campi di dati standardizzati che consentano la facile integrazione di serie di dati provenienti da diverse fonti di dati del settore pubblico, se necessario ai fini dell'analisi. L'obiettivo di tali pratiche dovrebbe essere la promozione dei dati finanziati e prodotti con fondi pubblici a fini di ricerca scientifica, conformemente al principio "il più aperto possibile, chiuso il tanto necessario".
(17) Il presente regolamento non dovrebbe incidere sui diritti di proprietà intellettuale di terzi. Il presente regolamento dovrebbe altresì lasciare impregiudicate l'esistenza o la titolarità di diritti di proprietà intellettuale degli enti pubblici e non dovrebbe limitare in alcun modo l'esercizio di tali diritti ▌. Gli obblighi imposti a norma del presente regolamento si dovrebbero applicare soltanto nella misura in cui siano compatibili con gli accordi internazionali sulla protezione dei diritti di proprietà intellettuale, in particolare la convenzione di Berna per la protezione delle opere letterarie e artistiche ("convenzione di Berna"), l'accordo sugli aspetti dei diritti di proprietà intellettuale attinenti al commercio ("accordo TRIPS"), il trattato dell'Organizzazione mondiale per la proprietà intellettuale sul diritto d'autore (WIPO Copyright Treaty — WCT) e il diritto dell'Unione o nazionale sulla proprietà intellettuale. Gli enti pubblici dovrebbero comunque esercitare il proprio diritto di autore in maniera tale da agevolare il riutilizzo dei dati.
(18) I dati protetti da diritti di proprietà intellettuale, come pure i segreti commerciali, dovrebbero unicamente essere trasmessi a terzi qualora tale trasmissione sia lecita in virtù del diritto dell'Unione o nazionale o con il consenso del titolare dei diritti. Nel caso in cui sia accordato agli enti pubblici il diritto del costitutore di una banca di dati di cui all'articolo 7, paragrafo 1, della direttiva 96/9/CE del Parlamento europeo e del Consiglio1, essi non dovrebbero esercitare tale diritto per impedire il riutilizzo dei dati o limitarlo più di quanto stabilito dal presente regolamento.
1 Direttiva 96/9/CE del Parlamento europeo e del Consiglio, dell'11 marzo 1996, relativa alla tutela giuridica delle banche di dati (GU L 77 del 27.3.1996, pag. 20).
(19) Le imprese e gli interessati dovrebbero poter confidare nel fatto che il riutilizzo di determinate categorie di dati protetti, detenuti dagli enti pubblici, sarà effettuato in maniera tale da rispettare i loro diritti e interessi. È pertanto opportuno predisporre tutele supplementari per situazioni nelle quali il riutilizzo di tali dati del settore pubblico ha luogo sulla base di un trattamento dei dati al di fuori di tale settore, tra cui un obbligo per gli enti pubblici di garantire che i diritti e gli interessi delle persone fisiche e giuridiche, in particolare per quanto riguarda i dati personali, i dati commerciali sensibili e i diritti di proprietà intellettuale, siano pienamente tutelati in tutti i casi, incluso il trasferimento di tali dati a paesi terzi. Gli enti pubblici non dovrebbero consentire il riutilizzo delle informazioni conservate in applicazioni di sanità elettronica da parte delle imprese di assicurazione o di qualsiasi altro fornitore di servizi al fine di discriminare nella fissazione dei prezzi, in quanto ciò sarebbe contrario al diritto fondamentale di accesso alla salute.
(20) È inoltre di estrema importanza, al fine di preservare una concorrenza leale e l'economia di mercato aperta, salvaguardare i dati protetti di natura non personale, in particolare i segreti commerciali, ma anche i dati non personali che costituiscono un contenuto protetto da diritti di proprietà intellettuale da un accesso illecito che possa portare al furto della proprietà intellettuale o allo spionaggio industriale. Al fine di garantire la protezione dei diritti o degli interessi ▌ dei titolari dei dati, possono essere trasferiti a paesi terzi i dati non personali che devono essere protetti da accessi illeciti o non autorizzati in conformità del diritto dell'Unione o nazionale e che sono detenuti da enti pubblici, ma ▌ solo allorché sono previste tutele adeguate per l'utilizzo dei dati. Tali tutele adeguate dovrebbero includere l'obbligo che l'ente pubblico trasmetta dati protetti a un riutilizzatore solo se quest'ultimo si impegni contrattualmente nell'interesse della protezione dei dati. Un riutilizzatore che intende trasferire i dati protetti a un tale paese terzo dovrebbe rispettare gli obblighi sanciti dal presente regolamento anche dopo l'avvenuto trasferimento dei dati al paese terzo. Per garantire la corretta applicazione di tali obblighi il riutilizzatore dovrebbe altresì accettare la giurisdizione dello Stato membro dell'ente pubblico che ha consentito il riutilizzo ai fini della risoluzione giudiziale delle controversie.
(21) Si dovrebbe inoltre prendere in considerazione l'applicazione di tutele adeguate se, nel paese terzo verso il quale vengono trasferiti i dati personali, sono in vigore misure equivalenti che garantiscono che i dati beneficino di un livello di protezione analogo a quello applicabile mediante il diritto dell'Unione, in particolare per quanto riguarda la protezione dei segreti commerciali e dei diritti di proprietà intellettuale. Se giustificato da un numero considerevole di richieste in tutta l'Unione riguardanti il riutilizzo di dati non personali in determinati paesi terzi, la Commissione dovrebbe poter essere in grado di dichiarare a tal fine, mediante atti di esecuzione, che un paese terzo fornisce un livello di protezione sostanzialmente equivalente a quello previsto dal diritto dell'Unione. La Commissione dovrebbe valutare la necessità di tali atti di esecuzione sulla base delle informazioni fornite dagli Stati membri tramite il comitato europeo per l'innovazione in materia di dati. Tali atti di esecuzione rassicurerebbero gli enti pubblici sul fatto che il riutilizzo dei dati detenuti da enti pubblici nel paese terzo in questione non comprometterebbe la natura protetta di tali dati.
La valutazione del livello di protezione conseguito nel paese terzo in questione dovrebbe in particolare tenere in considerazione la pertinente normativa generale e settoriale, anche in materia di pubblica sicurezza, difesa, sicurezza nazionale e diritto penale relativo all'accesso ai dati non personali e alla loro protezione, qualsiasi accesso da parte degli enti pubblici di tale paese terzo ai dati trasferiti, l'esistenza e l'effettivo funzionamento nel paese terzo di una o più autorità di controllo indipendenti responsabili di garantire e far rispettare il regime giuridico che assicura l'accesso a tali dati, gli impegni internazionali dei paesi terzi in materia di protezione dei dati, o altri obblighi derivanti da convenzioni o strumenti giuridicamente vincolanti, nonché la partecipazione del paese terzo a sistemi multilaterali o regionali. L'esistenza di mezzi di ricorso effettivi per i titolari dei dati, gli enti pubblici o i fornitori di servizi di intermediazione dei dati nel paese terzo in questione riveste un'importanza particolare nel contesto del trasferimento di dati non personali a tale paese terzo. Tali tutele dovrebbero pertanto comprendere la disponibilità di diritti azionabili e mezzi di ricorso effettivi. Tali atti di esecuzione dovrebbero lasciare impregiudicati eventuali obblighi giuridici o accordi contrattuali già sottoscritti da un riutilizzatore nell'interesse della protezione dei dati non personali, in particolare dei dati industriali, nonché il diritto degli enti pubblici di obbligare i riutilizzatori a rispettare le condizioni per il riutilizzo, conformemente al presente regolamento ▌. ▌
(22) Alcuni paesi terzi adottano leggi, regolamenti e altri atti giuridici che mirano a trasferire direttamente i dati non personali o a fornire un accesso diretto agli stessi da parte delle autorità pubbliche nell'Unione, sotto il controllo di persone fisiche e giuridiche poste sotto la giurisdizione degli Stati membri. Le decisioni e le sentenze di autorità giurisdizionali o le decisioni di autorità amministrative di paesi terzi che dispongono un tale trasferimento di dati non personali o l'accesso agli stessi dovrebbero avere carattere esecutivo quando sono basate su un accordo internazionale in vigore tra il paese terzo richiedente e l'Unione o un suo Stato membro, ad esempio un trattato di mutua assistenza giudiziaria. Possono in alcuni casi presentarsi situazioni in cui l'obbligo di trasferire i dati non personali, o di fornirvi accesso, derivante dalla normativa di un paese terzo, sia in conflitto con un obbligo concorrente di proteggere tali dati a norma del diritto dell'Unione o nazionale, in particolare per quanto riguarda la protezione dei diritti fondamentali della persona o degli interessi fondamentali di uno Stato membro connessi alla sicurezza nazionale o alla difesa, nonché la protezione dei dati commerciali sensibili e dei diritti di proprietà intellettuale, compresi anche gli obblighi contrattuali in materia di riservatezza conformemente a tale normativa.
In assenza di accordi internazionali atti a disciplinare simili questioni, il trasferimento o l'accesso a dati non personali dovrebbero essere consentiti solo previa verifica, in particolare, che il sistema giuridico del paese terzo imponga che siano indicati i motivi e la proporzionalità della decisione o della sentenza, che la decisione o la sentenza abbia carattere specifico e che l'obiezione motivata del destinatario sia sottoposta a riesame da parte di un'autorità giurisdizionale competente nel paese terzo, cui sia conferito il potere di tenere debitamente conto dei pertinenti interessi giuridici del fornitore di tali dati. Inoltre, gli enti pubblici, le persone fisiche o giuridiche cui è stato concesso il diritto di riutilizzo dei dati, i fornitori di servizi di intermediazione dei dati e le organizzazioni per l'altruismo dei dati riconosciute dovrebbero garantire, al momento della firma di accordi contrattuali con altre parti private, che i dati non personali detenuti nell'Unione siano accessibili da parte di paesi terzi o ad essi trasferiti solo in conformità del diritto dell'Unione o del diritto nazionale dello Stato membro interessato.
▌
(23) Al fine di promuovere ulteriore fiducia nell'economia dei dati dell'Unione, è essenziale che siano attuate tutele nei confronti dei cittadini, del settore pubblico e delle imprese dell'Unione che garantiscano loro il controllo sui rispettivi dati strategici e sensibili e che siano rispettati il diritto, i valori e le norme dell'Unione, tra l'altro in termini di sicurezza, protezione dei dati e protezione dei consumatori. Per prevenire un accesso illecito a dati non personali, gli enti pubblici, le persone fisiche o giuridiche cui è stato concesso il diritto di riutilizzo dei dati, i fornitori di servizi di intermediazione dei dati e le organizzazioni per l'altruismo dei dati riconosciute dovrebbero adottare tutte le misure ragionevoli per impedire l'accesso ai sistemi in cui sono conservati dati non personali, compresi cifratura dei dati e politiche aziendali. A tal fine, si dovrebbe garantire che gli enti pubblici, le persone fisiche o giuridiche cui è stato concesso il diritto di riutilizzo dei dati, i fornitori di servizi di intermediazione dei dati e le organizzazioni per l'altruismo dei dati riconosciute rispettino tutte le norme tecniche, i codici di condotta e le certificazioni pertinenti a livello dell'Unione.
(24) Al fine di creare fiducia nei meccanismi di riutilizzo, può essere necessario prevedere condizioni più rigorose per determinati tipi di dati non personali che possono essere ritenuti altamente sensibili in futuri specifici atti legislativi dell'Unione per quanto riguarda il trasferimento a paesi terzi, se tale trasferimento può compromettere obiettivi di politica pubblica dell'Unione, in linea con gli impegni internazionali. Nel settore della sanità, ad esempio, determinati set di dati detenuti da soggetti operanti nel sistema sanitario pubblico, quali gli ospedali pubblici, potrebbero essere considerati dati sanitari altamente sensibili. Altri settori pertinenti comprendono i trasporti, l'energia, l'ambiente e la finanza. Per garantire pratiche armonizzate in tutta l'Unione, tali tipologie di dati pubblici non personali altamente sensibili dovrebbero essere definite dal diritto dell'Unione, ad esempio nel contesto dello spazio europeo dei dati sanitari o di altra normativa settoriale. È opportuno stabilire mediante atti delegati tali condizioni cui è subordinato il trasferimento di tali dati a paesi terzi. Le condizioni dovrebbero essere proporzionate, non discriminatorie e necessarie per tutelare i legittimi obiettivi di politica pubblica dell'Unione individuati, quali la protezione della salute pubblica, ▌la sicurezza, l'ambiente, la morale pubblica e la protezione dei consumatori, della vita privata e dei dati personali. Le condizioni dovrebbero corrispondere ai rischi identificati in relazione alla sensibilità di tali dati, anche in termini di rischi di reidentificazione dei singoli individui. Tali condizioni potrebbero includere termini applicabili per il trasferimento o modalità tecniche, quali l'obbligo di utilizzare un ambiente di trattamento sicuro, limiti relativi al riutilizzo dei dati nei paesi terzi o categorie di persone aventi facoltà di trasferire tali dati a paesi terzi o che possono accedere ai dati nel paese terzo. In casi eccezionali tali condizioni potrebbero inoltre comprendere restrizioni al trasferimento dei dati a paesi terzi per tutelare l'interesse pubblico.
(25) Gli enti pubblici dovrebbero poter imporre tariffe per il riutilizzo dei dati, ma dovrebbero altresì poter consentirne il riutilizzo a tariffe ridotte o nulla, ad esempio per determinate categorie di riutilizzo quali il riutilizzo a fini non commerciali o a fini di ricerca scientifica, o il riutilizzo da parte delle PMI e delle start-up, nonché della società civile e degli istituti di istruzione, in modo da incentivare tale riutilizzo al fine di stimolare la ricerca e l'innovazione e sostenere le imprese che rappresentano un'importante fonte di innovazione e incontrano generalmente maggiori difficoltà a raccogliere esse stesse dati pertinenti, in conformità con la normativa in materia di aiuti di Stato. In questo contesto specifico, i fini di ricerca scientifica dovrebbero includere qualsiasi tipo di finalità connessa alla ricerca, indipendentemente dalla struttura organizzativa o finanziaria dell'istituto di ricerca in questione, ad eccezione della ricerca condotta da un'impresa con finalità di sviluppo, miglioramento o ottimizzazione di prodotti o servizi. Le tariffe dovrebbero essere trasparenti, non discriminatorie e limitate ai costi sostenuti e non dovrebbero limitare la concorrenza. Un elenco delle categorie di riutilizzatori ai quali si applicano tariffe ridotte o nulle dovrebbe essere reso pubblico unitamente ai criteri utilizzati per stilare tale elenco.
(26) Al fine di incentivare il riutilizzo di particolari categorie di dati detenuti da enti pubblici, gli Stati membri dovrebbero istituire uno sportello unico che funga da interfaccia per i riutilizzatori che intendono riutilizzare tali dati. Lo sportello dovrebbe avere un mandato intersettoriale e integrare, ove necessario, gli accordi a livello settoriale. Esso dovrebbe potersi avvalere di strumenti automatizzati per la trasmissione delle richieste di informazioni o delle richieste di riutilizzo. Nel processo di trasmissione dovrebbe essere garantita una sorveglianza umana sufficiente. A tal fine potrebbero essere utilizzate modalità pratiche già esistenti, quali i portali open data. Lo sportello unico dovrebbe disporre di una panoramica delle risorse contenente tutte le fonti di dati disponibili, comprese, se del caso, quelle fonti di dati disponibili presso i punti di informazione settoriali, regionali o locali, con pertinenti informazioni riguardo ai dati disponibili. Gli Stati membri dovrebbero inoltre designare, istituire o agevolare l'istituzione di organismi competenti per sostenere le attività degli enti pubblici che hanno facoltà di consentire il riutilizzo di determinate categorie di dati protetti. I loro compiti possono comprendere la concessione dell'accesso ai dati, ove previsto dalla legislazione settoriale dell'Unione o nazionale. Tali organismi competenti dovrebbero fornire assistenza agli enti pubblici mediante tecniche all'avanguardia, compreso su come strutturare e conservare al meglio i dati al fine di renderli facilmente accessibili, in particolare attraverso interfacce di programmazione delle applicazioni, nonché su come rendere i dati interoperabili, trasferibili e consultabili, tenendo conto delle migliori prassi per il trattamento dei dati, nonché di eventuali norme tecniche e di regolamentazione vigenti, e mediante ambienti di trattamento dei dati sicuri, che consentano modalità di analisi dei dati tali da preservare la riservatezza delle informazioni. Gli organismi competenti dovrebbero operare conformemente alle istruzioni ricevute dall'ente pubblico.
Tale struttura di assistenza potrebbe assistere gli interessati e i titolari dei dati nella gestione del consenso o nell'autorizzazione al riutilizzo, compreso per quanto riguarda il consenso e l'autorizzazione a taluni settori della ricerca scientifica laddove vi sia rispetto delle norme deontologiche riconosciute per la ricerca scientifica. Gli organismi competenti non dovrebbero avere funzioni di controllo, che sono riservate alle autorità di controllo a norma del regolamento (UE) 2016/679. Fatti salvi i poteri di controllo delle autorità per la protezione dei dati, il trattamento dei dati dovrebbe essere effettuato sotto la responsabilità dell'ente pubblico responsabile del registro che contiene i dati, che rimane un titolare del trattamento quale definito dal regolamento (UE) 2016/679 per quanto concerne i dati personali. Gli Stati membri dovrebbero poter disporre di uno o più organismi competenti, che potrebbero operare in settori diversi. I servizi interni degli enti pubblici potrebbero altresì fungere da organismi competenti. Un organismo competente potrebbe essere un ente pubblico che fornisce assistenza ad altri enti pubblici nell'autorizzare il riutilizzo dei dati, se del caso, o un ente pubblico che autorizza il riutilizzo stesso. Fornire assistenza ad altri enti pubblici dovrebbe significare informarli, su richiesta, riguardo alle migliori pratiche per soddisfare i requisiti stabiliti dal presente regolamento, ad esempio riguardo ai mezzi tecnici per rendere disponibile un ambiente di trattamento sicuro oppure per garantire la tutela della vita privata e la riservatezza quando è fornito accesso per il riutilizzo dei dati nell'ambito del presente regolamento.
(27) Si prevede che i ▌servizi di intermediazione ▌dei dati svolgano un ruolo essenziale nell'economia dei dati, in particolare nel sostenere e promuovere pratiche volontarie di condivisione dei dati tra imprese o nell'agevolare la condivisione dei dati nell'ambito degli obblighi stabiliti dal diritto dell'Unione o nazionale. Essi potrebbero diventare strumenti che agevolano ▌lo scambio di quantità considerevoli di dati pertinenti. I fornitori di servizi di intermediazione dei dati, che possono includere anche enti pubblici, che offrono servizi che collegano i diversi soggetti dispongono del potenziale per contribuire alla messa in comune efficiente dei dati come pure all'agevolazione della condivisione bilaterale dei dati. I servizi di intermediazione dei dati specializzati, che sono indipendenti dagli interessati, dai titolari dei dati e dagli utenti dei dati, potrebbero facilitare l'emergere di nuovi ecosistemi basati sui dati indipendenti da qualsiasi operatore che detenga un grado significativo di potere di mercato, prevedendo nel contempo un accesso non discriminatorio all'economia dei dati per le imprese di tutte le dimensioni, in particolare le PMI e le start-up con mezzi finanziari, giuridici o amministrativi limitati. Ciò sarà particolarmente importante nel contesto della creazione di spazi comuni europei di dati, ossia quadri interoperabili specifici o settoriali o intersettoriali di norme e prassi comuni per condividere o trattare congiuntamente i dati, anche ai fini dello sviluppo di nuovi prodotti e servizi, della ricerca scientifica o di iniziative della società civile. I servizi di intermediazione dei dati potrebbero includere la condivisione bilaterale o multilaterale dei dati o la creazione di piattaforme o banche dati che consentano la condivisione o l'utilizzo congiunto dei dati, nonché l'istituzione di un'infrastruttura specifica per l'interconnessione di interessati e titolari dei dati con gli utenti dei dati.
(28) Il presente regolamento dovrebbe contemplare i servizi finalizzati a instaurare, attraverso strumenti tecnici, giuridici o di altro tipo, rapporti commerciali ai fini della condivisione dei dati tra un numero indeterminato di interessati e di titolari dei dati, da un lato, e gli utenti dei dati, dall'altro, anche per l'esercizio dei diritti degli interessati in relazione ai dati personali. Laddove le imprese e altri entità offrano molteplici servizi relativi ai dati, solo le attività che riguardano direttamente la fornitura di servizi di intermediazione dei dati sono contemplate dal presente regolamento. La fornitura di servizi di archiviazione sul cloud, di analisi, di software per la condivisione dei dati, di web browser, di plug-in per browser o di un servizio di posta elettronica non dovrebbe essere considerata fornitura di servizi di intermediazione dei dati ai sensi del presente regolamento a condizione che tali servizi si limitino alla messa a disposizione di strumenti tecnici per gli interessati o per i titolari dei dati ai fini della condivisione di dati con altri; tuttavia la fornitura di tali strumenti non mira né a instaurare un rapporto commerciale tra i titolari dei dati e gli utenti dei dati né a consentire al fornitore di servizi di intermediazione dei dati di acquisire informazioni in merito all'instaurazione del rapporto commerciale ai fini della condivisione dei dati.
Tra gli esempi di servizi di intermediazione dei dati figurano i mercati dei dati su cui le imprese possono mettere dati a disposizione di terzi, gli orchestratori di ecosistemi di condivisione dei dati aperti a tutte le parti interessate, ad esempio nel contesto degli spazi comuni europei di dati, nonché i pool di dati creati congiuntamente da più persone fisiche o giuridiche con l'intento di concedere licenze per il loro uso a tutte le parti interessate in modo che tutti i partecipanti che contribuiscono al pool siano ricompensati per il loro contributo. Ciò escluderebbe i servizi che ottengono dati dai titolari dei dati e li aggregano, arricchiscono o trasformano al fine di aggiungervi un valore sostanziale e concedono licenze per l'utilizzo dei dati risultanti agli utenti dei dati, senza instaurare un rapporto commerciale tra i titolari dei dati e gli utenti dei dati. Ciò escluderebbe altresì i servizi che sono utilizzati esclusivamente da un titolare dei dati per consentire l'utilizzo dei dati detenuti da tale titolare dei dati, oppure che sono utilizzati da varie persone giuridiche all'interno di un gruppo chiuso, anche nel quadro di rapporti con i fornitori o i clienti o di collaborazioni contrattualmente stabiliti , in particolare quelli aventi come obiettivo principale quello di garantire le funzionalità di oggetti o dispositivi connessi all'internet delle cose.
(29) Il presente regolamento non dovrebbe riguardare i servizi il cui obiettivo principale è l'intermediazione di contenuti protetti da diritto d'autore, come i prestatori di servizi di condivisione di contenuti online quali definiti all'articolo 2, punto 6, della direttiva (UE) 2019/790. I "fornitori di un sistema consolidato di pubblicazione" quali definiti all'articolo 2, paragrafo 1, punto 35, del regolamento (UE) n. 600/2014 del Parlamento europeo e del Consiglio1 e i "prestatori dei servizi di informazione sui conti" quali definiti all'articolo 4, punto 19, della direttiva (UE) 2015/2366 del Parlamento europeo e del Consiglio2 non dovrebbero essere considerati fornitori di servizi di intermediazione dei dati ai fini del presente regolamento. Il presente regolamento non dovrebbe applicarsi ai servizi offerti da enti pubblici così da facilitare il riutilizzo di dati protetti, detenuti da diversi enti pubblici conformemente al presente regolamento, o l’utilizzo di eventuali altri dati, nella misura in cui tali servizi non abbiano l’intenzione di creare rapporti commerciali. Le organizzazioni per l'altruismo dei dati di cui al presente regolamento non dovrebbero essere considerate offrire servizi di intermediazione dei dati a condizione che tali servizi non creino un rapporto commerciale tra potenziali utenti dei dati, da un lato, e interessati e titolari dei dati che mettono a disposizione i dati per motivi altruistici, dall'altro. Altri servizi non finalizzati a instaurare rapporti commerciali, come i repository volti a consentire il riutilizzo dei dati della ricerca scientifica conformemente ai principi dell'accesso aperto, non dovrebbero essere considerati servizi di intermediazione dei dati ai sensi del presente regolamento.
1 Regolamento (UE) n. 600/2014 del Parlamento europeo e del Consiglio, del
15 maggio 2014, sui mercati degli strumenti finanziari e che modifica il xxxxxxxxxxx (XX) x. 000/0000 (XX L 173 del 12.6.2014, pag. 84).
2 Direttiva (UE) 2015/2366 del Parlamento europeo e del Consiglio, del
25 novembre 2015, relativa ai servizi di pagamento nel mercato interno, che modifica le direttive 2002/65/CE, 2009/110/CE e 2013/36/UE e il regolamento (UE) n. 1093/2010, e xxxxxx xx xxxxxxxxx 0000/00/XX (XX L 337 del 23.12.2015, pag. 35).
(30) Una categoria specifica di fornitori di servizi di intermediazione dei dati comprende i fornitori ▌che offrono i loro servizi agli interessati. Tali fornitori di servizi di intermediazione dei dati cercano di rafforzare la capacità di agire degli interessati e, in particolare, il controllo dei singoli individui in merito ai dati che li riguardano. Tali fornitori assisterebbero i singoli individui nell'esercizio dei loro diritti a norma del regolamento (UE) 2016/679, in particolare gestendone la concessione e la revoca del consenso al trattamento dei dati, il diritto all'accesso ai propri dati, il diritto alla rettifica dei dati personali inesatti, il diritto alla cancellazione o "diritto all'oblio", il diritto alla limitazione del trattamento e il diritto alla portabilità dei dati, che consente agli interessati di trasferire i propri dati personali da un titolare del trattamento a un altro. In tale contesto, è importante che il modello commerciale di tali fornitori garantisca che non vi siano incentivi disallineati che incoraggino i singoli individui a utilizzare tali servizi per mettere a disposizione più dati che li riguardano di quanto non sia nel loro stesso interesse. Ciò potrebbe comprendere l'offerta di consulenza ai singoli individui quanto ai possibili utilizzi dei loro dati e il controllo della dovuta diligenza degli utenti dei dati prima che sia consentito loro di contattare gli interessati, al fine di evitare pratiche fraudolente. In alcune situazioni potrebbe essere auspicabile raccogliere dati reali in uno spazio di dati personali, affinché il trattamento possa aver luogo all'interno di tale spazio senza che i dati personali siano trasmessi a terzi, al fine di ottimizzare la protezione dei dati personali e della vita privata. Tali spazi di dati personali potrebbero contenere dati personali statici quali nome, indirizzo o data di nascita, nonché dati dinamici generati da una persona ad esempio con l'utilizzo di un servizio online o di un oggetto connesso all'internet delle cose. Potrebbero essere utilizzati anche per conservare informazioni verificate sull'identità quali i numeri di passaporto o informazioni sulla sicurezza sociale, nonché credenziali quali informazioni sulla patente di guida, diplomi x xxxxx bancari.
(31) Le cooperative di dati mirano a raggiungere una serie di obiettivi, in particolare a rafforzare la posizione dei singoli individui, affinché compiano scelte informate prima di acconsentire all'utilizzo dei dati, influenzando i termini e le condizioni, stabiliti dalle organizzazioni di utenti dei dati, cui è subordinato l'utilizzo dei dati, in modo da offrire scelte migliori ai singoli membri del gruppo, o trovando possibili soluzioni alle posizioni contrastanti dei singoli membri di un gruppo in merito alle modalità di utilizzo dei dati laddove tali dati riguardino più interessati all'interno di tale gruppo. In tale contesto è importante riconoscere che i diritti a norma del regolamento (UE) 2016/679 sono diritti personali dell'interessato e che quest'ultimo non può rinunciarvi. Le cooperative di dati potrebbero altresì rappresentare uno strumento utile per imprese individuali ▌e PMI che, in termini di conoscenze in materia di condivisione dei dati, sono spesso equiparabili ai singoli individui.
(32) Al fine di far crescere la fiducia in tali servizi di intermediazione dei dati, in particolare in relazione all'utilizzo dei dati e al rispetto delle condizioni imposte dagli interessati e dai titolari dei dati, è necessario istituire un quadro normativo a livello dell'Unione che definisca requisiti altamente armonizzati relativi alla fornitura affidabile di tali servizi di intermediazione dei dati e che sia attuato dalle autorità competenti. Tale quadro contribuirà a garantire che gli interessati nonché i titolari e gli utenti dei dati abbiano un maggiore controllo sull'accesso ai propri dati e sul loro utilizzo, conformemente al diritto dell'Unione. La Commissione potrebbe inoltre incoraggiare e facilitare l'elaborazione di codici di condotta a livello dell'Unione, coinvolgendo i pertinenti portatori di interessi, in particolare in materia di interoperabilità.
Sia in situazioni in cui la condivisione di dati avviene tra due imprese sia quando ha luogo tra impresa e consumatore, i fornitori di servizi di intermediazione dei dati dovrebbero offrire una modalità nuova, "europea", di governance dei dati, garantendo una separazione, nell'economia dei dati, tra fornitura, intermediazione e utilizzo dei dati. I fornitori di servizi di intermediazione dei dati possono anche mettere a disposizione un'infrastruttura tecnica specifica per l'interconnessione di interessati e titolari dei dati con gli utenti dei dati. A tale proposito, è particolarmente importante configurare l'infrastruttura in modo tale che non vi siano ostacoli tecnici o di altro tipo che impediscano alle PMI e alle start-up di partecipare all'economia dei dati. I fornitori di servizi di intermediazione dei dati dovrebbero essere autorizzati a offrire strumenti e servizi supplementari specifici ai titolari dei dati o agli interessati allo scopo specifico di facilitare lo scambio dei dati, come la conservazione temporanea, la cura, la conversione, l'anonimizzazione e la pseudonimizzazione. Tali strumenti e servizi dovrebbero essere utilizzati solo su richiesta o approvazione esplicita del titolare dei dati o dell'interessato e gli strumenti di terzi offerti in tale contesto non dovrebbero utilizzare i dati per altri scopi. Dovrebbe nel contempo essere consentito ai fornitori di servizi di intermediazione dei dati di adattare i dati scambiati, ad esempio convertendoli in formati specifici, per migliorarne l'usabilità dei dati per l'utente dei dati qualora quest'ultimo lo desideri, o migliorare l'interoperabilità.
(33) È importante consentire un ambiente competitivo per la condivisione dei dati. Un elemento essenziale attraverso il quale aumentare la fiducia e il controllo dei titolari dei dati, interessati e utenti dei dati nei servizi di intermediazione dei dati è la neutralità dei fornitori ▌di servizi di intermediazione dei dati riguardo ai dati scambiati tra titolari dei dati o interessati e utenti dei dati. È pertanto necessario che i fornitori di servizi di
▌intermediazione dei dati agiscano solo in qualità di intermediari nelle transazioni e non utilizzino per nessun altro fine i dati scambiati. Le condizioni commerciali, compresa la fissazione dei prezzi, per la fornitura dei servizi di intermediazione dei dati non dovrebbero essere subordinate al fatto che un potenziale titolare dei dati o utente dei dati utilizzi altri servizi forniti dallo stesso fornitore di servizi di intermediazione dei dati o da un'entità collegata, tra cui l'archiviazione, l'analisi, l'intelligenza artificiale o altre applicazioni basate sui dati, e, in caso affermativo, dalla misura in cui il titolare dei dati o gli utenti dei dati utilizzino tali altri servizi.
Ciò renderà altresì necessaria una separazione strutturale tra il servizio di intermediazione dei dati e qualsiasi altro servizio fornito, in modo tale da evitare conflitti di interessi. Ciò significa che il servizio di intermediazione dei dati dovrebbe essere fornito mediante una persona giuridica distinta dalle altre attività di tale ▌fornitore di servizi di intermediazione dei dati. Tuttavia i fornitori di servizi di intermediazione dei dati dovrebbero poter utilizzare i dati forniti dal titolare dei dati per migliorare i loro servizi di intermediazione dei dati. I fornitori di servizi di intermediazione dei dati dovrebbero essere in grado di mettere a disposizione dei titolari dei dati, degli interessati o degli utenti dei dati strumenti propri o di terzi al fine di agevolare lo scambio di dati, ad esempio strumenti per la conversione o la cura di dati, solamente su richiesta esplicita o con l'esplicita approvazione dell'interessato o del titolare dei dati. Gli strumenti di terzi offerti in tale contesto non dovrebbero utilizzare i dati per finalità diverse da quelle relative ai servizi di intermediazione dei dati. I fornitori di servizi di intermediazione dei dati che agiscono da intermediari tra i singoli individui, quali gli interessati, e le persone giuridiche, quali gli utenti dei dati, dovrebbero inoltre avere l'obbligo fiduciario nei confronti dei singoli individui di garantire che agiscono nel migliore interesse degli interessati. Le questioni concernenti la responsabilità per tutti i danni e pregiudizi materiali e immateriali derivanti da un comportamento del fornitore di servizi di intermediazione dei dati potrebbero essere affrontate nel pertinente contratto, sulla base dei regimi nazionali di responsabilità.
(34) I fornitori di servizi di intermediazione dei dati dovrebbero adottare misure ragionevoli per garantire l'interoperabilità all'interno di un settore e tra settori diversi al fine di assicurare il corretto funzionamento del mercato interno. Le misure ragionevoli potrebbero comprendere il rispetto delle vigenti norme di uso comune nel settore in cui opera il fornitore di servizi di intermediazione dei dati. Il comitato europeo per l'innovazione in materia di dati dovrebbe agevolare l'emergere di ulteriori norme settoriali, ove necessario. I fornitori di servizi di intermediazione dei dati dovrebbero attuare tempestivamente le misure per l'interoperabilità tra servizi di intermediazione dei dati adottate dal comitato europeo per l'innovazione in materia di dati.
(35) Il presente regolamento dovrebbe lasciare impregiudicati l'obbligo incombente ai fornitori di servizi di intermediazione dei dati di rispettare il regolamento (UE) 2016/679 e la responsabilità delle autorità di controllo di garantire il rispetto di tale regolamento. Qualora i fornitori di servizi di intermediazione dei dati trattino dati personali, il presente regolamento non dovrebbe pregiudicare la protezione degli stessi. Qualora siano titolari del trattamento o responsabili del trattamento dei dati quali definiti nel regolamento (UE) 2016/679, i fornitori di servizi di intermediazione dei dati sono vincolati dalle norme di tale regolamento. ▌
(36) Si prevede che i fornitori di servizi di intermediazione dei dati dispongano di procedure e misure tese a imporre sanzioni per le pratiche fraudolente o abusive in relazione ai soggetti che richiedono l'accesso tramite i loro servizi di intermediazione dei dati, anche attraverso misure quali l'esclusione degli utenti di dati che violano i termini del servizio o il diritto vigente.
(37) È altresì opportuno che i fornitori di servizi di intermediazione dei dati adottino misure per garantire il rispetto del diritto della concorrenza e dispongano di procedure a tal fine.
▌Ciò vale in particolare nelle situazioni in cui la condivisione dei dati consente alle imprese di venire a conoscenza delle strategie di mercato dei loro concorrenti effettivi o potenziali. Le informazioni sensibili sotto il profilo della concorrenza comprendono abitualmente le informazioni su dati dei clienti, prezzi futuri, costi di produzione, quantità, fatturato, vendite o capacità.
(38) È opportuno istituire una procedura di notifica per i servizi di intermediazione dei dati al fine di garantire una governance dei dati all'interno dell'Unione basata su uno scambio di dati affidabile. I vantaggi di un ambiente affidabile sarebbero conseguiti al meglio mediante l'imposizione di una serie di requisiti per la fornitura di servizi di intermediazione dei dati, senza che sia tuttavia necessaria l'adozione di decisioni o di atti amministrativi espliciti da parte dell'autorità competente per i servizi di intermediazione dei dati per la fornitura di tali servizi. La procedura di notifica non dovrebbe porre indebiti ostacoli alle PMI, alle start-up e alle organizzazioni della società civile e dovrebbe rispettare il principio di non discriminazione.
(39) Al fine di sostenere una fornitura transfrontaliera efficace dei servizi, è opportuno richiedere al fornitore di servizi di intermediazione dei dati l'invio di una notifica solo all'autorità competente per i servizi di intermediazione dei dati dello Stato membro in cui è situato il suo stabilimento principale o in cui si trova il suo rappresentante legale. Una tale notifica dovrebbe consistere in una semplice dichiarazione dell'intenzione di fornire tali servizi e dovrebbe essere completata solo fornendo le informazioni di cui al presente regolamento. A seguito della relativa notifica, il fornitore di servizi di intermediazione dei dati dovrebbe poter iniziare a operare in qualsiasi Stato membro senza ulteriori obblighi di notifica.
(40) La procedura di notifica stabilita nel presente regolamento dovrebbe lasciare impregiudicate le norme supplementari specifiche in materia di fornitura di servizi di intermediazione dei dati applicabili mediante una normativa settoriale.
(41) Lo stabilimento principale di un fornitore di servizi di intermediazione dei dati nell'Unione dovrebbe essere ove ha sede l'amministrazione centrale del fornitore nell'Unione. Lo stabilimento principale di un fornitore di servizi di intermediazione dei dati nell'Unione dovrebbe essere determinato in base a criteri oggettivi e implicare l'effettivo e reale svolgimento di attività di gestione. Le attività di un fornitore di servizi di intermediazione dei dati dovrebbero inoltre rispettare il diritto nazionale dello Stato membro in cui esso ha lo stabilimento principale.
(42) Al fine di garantire il rispetto delle condizioni definite nel presente regolamento da parte dei fornitori di▌ servizi di intermediazione dei dati, i fornitori di tali servizi dovrebbero avere il loro stabilimento principale nell'Unione. ▌Qualora un fornitore di servizi di intermediazione dei dati non stabilito nell'Unione offra servizi nell'Unione, dovrebbe designare un rappresentante legale. La designazione di un rappresentante legale è necessaria in questi casi, poiché tali fornitori di servizi di intermediazione dei dati gestiscono sia dati personali sia dati commerciali riservati e ciò rende necessario il controllo ravvicinato del rispetto del presente regolamento da parte di tali fornitori di servizi di intermediazione dei dati. Per determinare se tale fornitore di servizi di intermediazione dei dati stia offrendo servizi nell'Unione, è opportuno verificare se risulta che il fornitore di servizi di intermediazione dei dati stia progettando di fornire servizi a persone in uno o più Stati membri. La mera accessibilità nell'Unione al sito web o a un indirizzo e-mail e ad altri dati di contatto del fornitore di servizi di intermediazione dei dati, o l'utilizzo di una lingua abitualmente utilizzata nel paese terzo in cui è stabilito il fornitore di servizi di intermediazione dei dati, non dovrebbero essere ritenuti sufficienti ad accertare tale intenzione. Tuttavia, fattori quali l'utilizzo di una lingua o di una valuta abitualmente utilizzata in uno o più Stati membri, con la possibilità di ordinare servizi in tale lingua, o la menzione di utenti che si trovano nell'Unione potrebbero evidenziare che il fornitore di servizi di intermediazione dei dati stia progettando di offrire servizi all'interno dell'Unione. Un rappresentante legale designato dovrebbe agire a nome del fornitore di servizi di intermediazione dei dati e le autorità competenti per servizi di intermediazione dei dati dovrebbero avere la possibilità di contattare il rappresentante legale, oltre al fornitore di servizi di intermediazione dei dati o al suo posto, anche in caso di violazione, al fine di avviare un procedimento esecutivo contro un prestatore di servizi di intermediazione dei dati inadempiente non stabilito nell'Unione. Il rappresentante legale dovrebbe essere designato mediante mandato scritto del fornitore di servizi di intermediazione dei dati affinché agisca a suo nome con riguardo agli obblighi che a quest'ultimo derivano dal presente regolamento.
(43) Al fine di aiutare gli interessati e i titolari a identificare facilmente i fornitori di servizi di intermediazione dei dati riconosciuti nell’Unione, e quindi ad avere maggiore fiducia in essi, occorre creare un logo comune riconoscibile in tutta l'Unione oltre al titolo di "fornitore di servizi di intermediazione dei dati riconosciuto nell'Unione".
(44) Le autorità competenti per i servizi di intermediazione dei dati designate per monitorare la conformità dei fornitori di servizi di intermediazione dei dati ai requisiti del presente regolamento dovrebbero essere scelte in base alle loro capacità e competenze in materia di condivisione orizzontale o settoriale dei dati. Esse dovrebbero essere indipendenti da qualsiasi fornitore di servizi di intermediazione dei dati, nonché trasparenti e imparziali nello svolgimento dei loro compiti. Ciascuno Stato membro dovrebbe notificare alla Commissione l'identità di tali autorità competenti per i servizi di intermediazione dei dati. I poteri e le competenze delle autorità competenti per i servizi di intermediazione dei dati dovrebbero lasciare impregiudicati i poteri delle autorità per la protezione dei dati. In particolare, per qualsiasi questione che richieda la valutazione della conformità al regolamento (UE) 2016/679, l'autorità competente per i servizi di intermediazione dei dati dovrebbe, se del caso, chiedere all'autorità di controllo competente istituita a norma di tale regolamento di emettere un parere o una decisione.
(45) L'utilizzo per obiettivi di interesse generale di dati messi a disposizione su base volontaria dagli interessati, sulla base del consenso informato di questi ultimi, o di dati non personali messi a disposizione dai titolari presenta grandi potenzialità. Tali obiettivi di interesse generale comprendono l'assistenza sanitaria, la lotta ai cambiamenti climatici, il miglioramento della mobilità, l'agevolazione dell'elaborazione, della produzione e della divulgazione di statistiche europee, il miglioramento della fornitura dei servizi pubblici, o delle politiche pubbliche. Anche il sostegno alla ricerca scientifica ▌ dovrebbe essere considerato un obiettivo di interesse generale. Il presente regolamento dovrebbe mirare a contribuire allo sviluppo di pool di dati messi a disposizione sulla base dell'altruismo dei dati, che abbiano dimensioni sufficienti da consentire l'analisi dei dati e l'apprendimento automatico, anche attraverso l'Unione. Per conseguire tale obiettivo, gli Stati membri dovrebbero poter avere disposizioni organizzative o tecniche, o entrambi, che agevolino l'altruismo dei dati. Tali disposizioni potrebbero includere la messa a disposizione degli interessati o dei titolari dei dati di strumenti di facile utilizzo per dare il consenso o l'autorizzazione all'uso altruistico dei loro dati, l'organizzazione di campagne di sensibilizzazione, o uno scambio strutturato tra le autorità competenti sui benefici dell'altruismo dei dati per le politiche pubbliche, ad esempio sul fronte del miglioramento del traffico, della salute pubblica e della lotta ai cambiamenti climatici). A tal fine, gli Stati membri dovrebbero poter definire politiche nazionali per l'altruismo dei dati. Gli interessati dovrebbero poter ricevere un compenso esclusivamente in relazione ai costi da loro sostenuti nel mettere a disposizione i propri dati per obiettivi di interesse generale.
(46) La registrazione di organizzazioni per l’altruismo dei dati riconosciute e l’uso del titolo "organizzazione per l'altruismo dei dati riconosciuta nell'Unione" dovrebbe portare alla creazione di repository di dati. La registrazione in uno Stato membro sarebbe valida in tutta l'Unione, e dovrebbe agevolare l'utilizzo transfrontaliero dei dati all'interno dell'Unione e lo sviluppo di pool di dati riguardanti più Stati membri. ▌I titolari dei dati potrebbero concedere l'autorizzazione al trattamento dei loro dati non personali per una serie di finalità non stabilite al momento di concedere l'autorizzazione. La conformità ▌di tali organizzazioni per l'altruismo dei dati riconosciute con a una serie di requisiti stabiliti nel presente regolamento dovrebbe infondere fiducia quanto al fatto che i dati messi a disposizione a fini altruistici servano un obiettivo di interesse generale. A tale fiducia dovrebbero in particolare contribuire un luogo di stabilimento o un rappresentante legale all'interno dell'Unione, nonché il requisito che le organizzazioni per l'altruismo dei dati riconosciute non siano organizzazioni a scopo di lucro, gli obblighi di trasparenza e le tutele specifiche volte a proteggere i diritti e gli interessi degli interessati e delle imprese. Ulteriori tutele dovrebbero comprendere la possibilità di trattare i dati pertinenti in un ambiente di trattamento sicuro gestito dalle organizzazioni per l'altruismo dei dati riconosciute, meccanismi di sorveglianza quali consigli o comitati etici, compresi i rappresentanti della società civile, per garantire che il titolare del trattamento mantenga standard elevati di etica scientifica e di protezione dei diritti fondamentali, strumenti tecnici efficaci e comunicati con chiarezza per revocare o modificare il consenso in qualsiasi momento, sulla base degli obblighi di informazione dei responsabili del trattamento dei dati a norma del regolamento (UE) 2016/679, nonché strumenti che consentano agli interessati di essere informati circa l'utilizzo dei dati che hanno messo a disposizione.
La registrazione quale organizzazione per l'altruismo dei dati riconosciuta non dovrebbe essere un prerequisito per l'esercizio delle attività di altruismo dei dati. È opportuno che la Commissione elabori, mediante atti delegati, un codice in stretta cooperazione con le organizzazioni per l'altruismo dei dati e i portatori di interessi. Il rispetto di tale codice dovrebbe essere un requisito per la registrazione quali organizzazioni per l'altruismo dei dati riconosciute.
(47) Al fine di aiutare gli interessati e i titolari a identificare facilmente le organizzazioni per l'altruismo dei dati riconosciute, e quindi ad avere maggiore fiducia in esse, occorre creare un logo comune riconoscibile in tutta l'Unione. Il logo comune dovrebbe essere accompagnato da un codice QR con un link al registro pubblico dell'Unione delle organizzazioni per l'altruismo dei dati riconosciute.
(48) Il presente regolamento non dovrebbe pregiudicare l'istituzione, l'organizzazione e il funzionamento di entità che intendono impegnarsi nell'ambito dell'altruismo dei dati a norma del diritto nazionale e che si basa sui requisiti imposti del diritto nazionale per operare in modo legale in uno Stato membro in qualità di organizzazione senza scopo di lucro.
(49) Il presente regolamento non dovrebbe pregiudicare l'istituzione, l'organizzazione e il funzionamento di entità diverse dagli enti pubblici che praticano la condivisione dei dati e dei contenuti sulla base di licenze aperte, contribuendo quindi alla creazione di risorse comuni a disposizione di tutti. Dovrebbero essere comprese le piattaforme aperte e collaborative di condivisione delle conoscenze, i repository scientifici e accademici ad accesso aperto, le piattaforme di sviluppo di software open source e le piattaforme di aggregazione di contenuti ad accesso aperto.
(50) Le organizzazioni per l'altruismo dei dati riconosciute dovrebbero poter raccogliere dati pertinenti direttamente da persone fisiche e giuridiche o trattare dati raccolti da terzi. Il trattamento dei dati raccolti potrebbe essere effettuato da organizzazioni per l'altruismo dei dati per finalità da esse stesse stabilite oppure, se del caso, esse potrebbero acconsentire al trattamento da parte di terzi per tali finalità. Qualora siano titolari del trattamento o responsabili del trattamento dei dati ai sensi del regolamento
(UE) 2016/679, le organizzazioni per l'altruismo dei dati riconosciute dovrebbero rispettare le norme di tale regolamento. L'altruismo dei dati sarebbe basato in genere sul consenso degli interessati ai sensi dell'articolo 6, paragrafo 1, lettera a), e dell'articolo 9, paragrafo 2, lettera a), del regolamento (UE) 2016/679, che dovrebbe rispettare i requisiti per il consenso lecito conformemente agli articoli 7 e 8 di tale regolamento ▌. A norma del regolamento (UE) 2016/679, le finalità di ricerca scientifica potrebbero essere sostenute dal consenso in determinati settori di ricerca scientifica, laddove vi sia rispetto delle norme deontologiche riconosciute per la ricerca scientifica, o soltanto a determinati settori di ricerca o parti di progetti di ricerca. L'articolo 5, paragrafo 1, lettera b), del regolamento (UE) 2016/679 specifica che un ulteriore trattamento a fini di ricerca scientifica o storica o a fini statistici non è, conformemente all'articolo 89, paragrafo 1, del regolamento (UE) 2016/679, considerato incompatibile con le finalità iniziali. Per i dati non personali, i limiti di utilizzo dovrebbero essere indicati nell'autorizzazione concessa dal titolare dei dati.
(51) Le autorità competenti per la registrazione delle organizzazioni per l'altruismo dei dati designate per monitorare la conformità delle organizzazioni per l'altruismo dei dati riconosciute ai requisiti del presente regolamento dovrebbero essere scelte in base alle loro capacità e competenze. Esse dovrebbero essere indipendenti da qualsiasi organizzazione per l'altruismo dei dati, nonché trasparenti e imparziali nello svolgimento dei loro compiti. Ciascuno Stato membro dovrebbe notificare alla Commissione l'identità di tali autorità competenti per la registrazione delle organizzazioni per l'altruismo dei dati. I poteri e le competenze delle autorità competenti per la registrazione delle organizzazioni per l'altruismo dei dati dovrebbero lasciare impregiudicati i poteri delle autorità per la protezione dei dati. In particolare, per qualsiasi questione che richieda la valutazione della conformità al regolamento
(UE) 2016/679, l'autorità competente per la registrazione delle organizzazioni per l'altruismo dei dati dovrebbe, se del caso, chiedere all'autorità di controllo competente istituita a norma di tale regolamento di emettere un parere o una decisione.
(52) Per promuovere la fiducia e conferire ulteriore certezza giuridica e facilità d'uso alla procedura di concessione e revoca del consenso, in particolare nel contesto dell'utilizzo a fini statistici e di ricerca scientifica di dati messi a disposizione su base altruistica, è opportuno elaborare e utilizzare nel contesto della condivisione di dati su base altruistica un modulo europeo di consenso all'altruismo dei dati. Tale modulo dovrebbe contribuire a garantire agli interessati una maggiore trasparenza in merito all'accesso ai loro dati e all'utilizzo degli stessi in conformità al consenso da loro espresso nonché nel pieno rispetto delle norme in materia di protezione dei dati. Esso dovrebbe altresì facilitare la concessione e la revoca del consenso ed essere utilizzato per ottimizzare le attività di altruismo dei dati effettuate dalle imprese e fornire un meccanismo che consenta a queste ultime di revocare la loro autorizzazione all'utilizzo dei dati. È opportuno che il modulo europeo di consenso all'altruismo dei dati utilizzi un approccio modulare che ne consenta la personalizzazione in funzione di settori specifici e finalità diverse affinché sia possibile tenere conto delle specificità dei singoli settori, anche in termini di protezione dei dati.
(53) Al fine di attuare con successo il quadro di governance dei dati, è opportuno istituire un comitato europeo per l'innovazione in materia di dati sotto forma di un gruppo di esperti. Il comitato europeo per l'innovazione in materia di dati dovrebbe essere costituito da rappresentanti delle autorità competenti per i servizi di intermediazione dei dati e dalle autorità competenti per la registrazione delle organizzazioni per l'altruismo dei dati di tutti gli Stati membri, del comitato europeo per la protezione dei dati, del garante europeo della protezione dei dati, dell'Agenzia dell'Unione europea per la cibersicurezza (ENISA), della Commissione, nonché dal rappresentante dell'UE per le PMI o da un rappresentante nominato dalla rete dei rappresentanti per le PMI e da altri rappresentanti di organi pertinenti di settori specifici e di organi con competenze specifiche. Il comitato europeo per l'innovazione in materia di dati dovrebbe essere composto da un certo numero di sottogruppi, compreso un sottogruppo per il coinvolgimento dei portatori di interessi composto da rappresentanti pertinenti delle imprese, quali sanità, ambiente, agricoltura, trasporti, energia, produzione industriale, media, settori culturali e creativi e statistica, come pure del mondo accademico, della ricerca, della società civile, delle organizzazioni di normazione, dei pertinenti spazi comuni europei dei dati e altri portatori di interessi e terzi, tra cui gli organismi con competenze specifiche, quali gli istituti nazionali di statistica.
(54) Il comitato europeo per l'innovazione in materia di dati dovrebbe assistere la Commissione nel coordinare le pratiche e le politiche nazionali sui temi contemplati dal presente regolamento e nel sostenere l'utilizzo intersettoriale dei dati aderendo ai principi del quadro europeo di interoperabilità e utilizzando norme e specifiche europee e internazionali, anche attraverso la piattaforma multilaterale per la normazione delle TIC, i Core Vocabularies e i Building Blocks del meccanismo per collegare l'Europa, e dovrebbe tener conto delle attività di normazione in corso in settori o ambiti specifici. Le attività di normazione tecnica potrebbero comprendere l'individuazione di priorità per l'elaborazione di norme e l'istituzione e il mantenimento di una serie di norme tecniche e giuridiche per la trasmissione di dati tra due ambienti di trattamento che renda possibile l'organizzazione degli spazi di dati, in particolare nel chiarire e distinguere le norme e le pratiche intersettoriali da quelle settoriali.
È opportuno che il comitato europeo per l'innovazione in materia di dati collabori con organismi, reti o gruppi di esperti settoriali o con altre organizzazioni intersettoriali che si occupano del riutilizzo dei dati. Per quanto concerne l'altruismo dei dati, il comitato europeo per l'innovazione in materia di dati dovrebbe assistere la Commissione nell'elaborazione del modulo di consenso, previa consultazione con il comitato europeo per la protezione dei dati. Proponendo orientamenti sugli spazi comuni europei di dati, il comitato europeo per l'innovazione in materia di dati dovrebbe sostenere lo sviluppo di un'economia dei dati europea funzionante basata su tali spazi, come indicato nella strategia europea dei dati.
(55) Gli Stati membri dovrebbero stabilire norme in materia di sanzioni applicabili alle violazioni del presente regolamento e adottare tutte le misure necessarie per garantirne l'applicazione. Le sanzioni previste dovrebbero essere effettive, proporzionate e dissuasive. Discrepanze sostanziali tra le norme in materia di sanzioni potrebbero portare a una distorsione della concorrenza nel mercato unico digitale. L'armonizzazione di tali norme potrebbe essere utile a tal riguardo.
(56) Al fine di provvedere a un'efficiente applicazione del presente regolamento e garantire che i fornitori di servizi di intermediazione dei dati e le entità che desiderano registrarsi come organizzazioni per l'altruismo dei dati riconosciute siano in grado di accedere ed espletare le procedure di notifica e registrazione interamente in linea e in modo transfrontaliero, tali procedure dovrebbero essere offerte attraverso lo sportello digitale unico istituito a norma del regolamento (UE) 2018/1724 del Parlamento europeo e del Consiglio1. Tali procedure dovrebbero essere aggiunte all'elenco delle procedure riportato nell'allegato II del regolamento (UE) 2018/1724.
(57) È pertanto opportuno modificare di conseguenza il regolamento (UE) 2018/1724.
(58) Al fine di garantire l'efficacia del presente regolamento, è opportuno delegare alla Commissione il potere di adottare atti conformemente all'articolo 290 TFUE, onde integrare il presente regolamento stabilendo, in specifici atti legislativi dell'Unione, condizioni speciali applicabili ai trasferimenti a paesi terzi di alcune categorie di dati non personali ritenuti altamente sensibili e istituendo un codice per le organizzazioni per l'altruismo dei dati riconosciute cui tali organizzazioni devono conformarsi, che stabilisca requisiti di informazione, tecnici e di sicurezza, nonché tabelle di marcia per la comunicazione e norme di interoperabilità. È di particolare importanza che durante i lavori preparatori la Commissione svolga adeguate consultazioni, anche a livello di esperti, nel rispetto dei principi stabiliti nell'accordo interistituzionale "Legiferare meglio" del
13 aprile 20162. In particolare, al fine di garantire la parità di partecipazione alla preparazione degli atti delegati, il Parlamento europeo e il Consiglio ricevono tutti i documenti contemporaneamente agli esperti degli Stati membri, e i loro esperti hanno sistematicamente accesso alle riunioni dei gruppi di esperti della Commissione incaricati della preparazione di tali atti delegati.
1 Regolamento (UE) 2018/1724 del Parlamento europeo e del Consiglio, del
2 ottobre 2018, che istituisce uno sportello digitale unico per l'accesso a informazioni, procedure e servizi di assistenza e di risoluzione dei problemi e che modifica il xxxxxxxxxxx (XX) x. 0000/0000 (XX L 295 del 21.11.2018, pag. 1).
2 GU L 123 del 12.5.2016, pag. 1.
(59) Al fine di garantire condizioni uniformi di esecuzione del presente regolamento, dovrebbero essere attribuite alla Commissione competenze di esecuzione per assistere gli enti pubblici e i riutilizzatori a rispettare le condizioni di riutilizzo stabilite nel presente regolamento, stabilendo clausole contrattuali tipo relative al trasferimento di dati non personali a un paese terzo da parte dei riutilizzatori, per dichiarare che le disposizioni legislative, di controllo e in materia di applicazione della normativa di un paese terzo sono equivalenti alla tutela garantita dal diritto dell'Unione, per sviluppare il disegno del logo comune per i fornitori di servizi di intermediazione dei dati e del logo comune per le organizzazioni per l'altruismo dei dati riconosciute, e per stabilire ed elaborare il modulo europeo di consenso all'altruismo dei dati. È opportuno che tali competenze siano esercitate conformemente al regolamento (UE) n. 182/2011 del Parlamento europeo e del Consiglio1.
1 Regolamento (UE) n. 182/2011 del Parlamento europeo e del Consiglio, del
16 febbraio 2011, che stabilisce le regole e i principi generali relativi alle modalità di controllo da parte degli Stati membri dell'esercizio delle competenze di esecuzione attribuite alla Commissione (GU L 55 del 28.2.2011, pag. 13).
(60) Il presente regolamento non dovrebbe incidere sull'applicazione delle norme in materia di concorrenza, in particolare gli articoli 101 e 102 TFUE. Le misure previste dal presente regolamento non dovrebbero essere utilizzate per limitare la concorrenza in maniera contraria al TFUE. Tale aspetto riguarda in particolare le norme sullo scambio di informazioni sensibili dal punto di vista della concorrenza attraverso servizi di intermediazione dei dati tra concorrenti effettivi o potenziali.
(61) Il garante europeo della protezione dei dati e il comitato europeo per la protezione dei dati sono stati consultati a norma dell'articolo 42, paragrafo 1, del regolamento
(UE) 2018/1725 e hanno emesso i loro pareri il 10 marzo 2021.
(62) Il presente regolamento segue come principi guida il rispetto dei diritti fondamentali e i principi riconosciuti in particolare dalla Carta dei diritti fondamentali dell'Unione europea, compresi il diritto alla vita privata, la protezione dei dati personali, la libertà di impresa, il diritto di proprietà e il diritto all'inserimento delle persone con disabilità. Nel contesto di quest'ultimo, è opportuno che gli enti pubblici e i servizi di cui al presente regolamento si conformino, se del caso, alle direttive (UE) 2016/21021 e (UE) 2019/8822 del Parlamento europeo e del Consiglio. È inoltre opportuno tenere conto della "progettazione per tutti" nel contesto delle tecnologie dell'informazione e della comunicazione, vale a dire lo sforzo consapevole e sistematico di applicare in modo proattivo principi, metodi e strumenti per promuovere la progettazione universale nelle tecnologie informatiche, comprese le tecnologie basate su internet, evitando in tal modo la necessità di adattamenti a posteriori o di una progettazione specializzata.
1 Direttiva (UE) 2016/2102 del Parlamento europeo e del Consiglio, del 26 ottobre 2016, relativa all'accessibilità dei siti web e delle applicazioni mobili degli enti pubblici
(GU L 327 del 2.12.2016, pag. 1).
2 Direttiva (UE) 2019/882 del Parlamento europeo e del Consiglio, del 17 aprile 2019, sui requisiti di accessibilità dei prodotti e dei servizi (GU L 151 del 7.6.2019, pag. 70).
(63) Poiché gli obiettivi del presente regolamento, ossia il riutilizzo, all'interno dell'Unione, di determinate categorie di dati detenuti da enti pubblici, nonché l'istituzione di un quadro di notifica e controllo per la fornitura di servizi di intermediazione dei dati e di un quadro per la registrazione volontaria delle entità che mettono i dati a disposizione a fini altruistici e di un quadro per l’istituzione di un comitato europeo per l'innovazione in materia di dati, non possono essere conseguiti in misura sufficiente dagli Stati membri ma, a motivo della loro portata e dei loro effetti, possono essere conseguiti meglio a livello di Unione, quest'ultima può intervenire in base al principio di sussidiarietà sancito dall'articolo 5 del trattato sull'Unione europea. Il presente regolamento si limita a quanto è necessario per conseguire tali obiettivi in ottemperanza al principio di proporzionalità enunciato nello stesso articolo,
HANNO ADOTTATO IL PRESENTE REGOLAMENTO:
CAPO I DISPOSIZIONI GENERALI
Articolo 1
Oggetto e ambito di applicazione
1. Il presente regolamento stabilisce:
a) le condizioni per il riutilizzo, all'interno dell'Unione, di determinate categorie di dati detenuti da enti pubblici;
b) un quadro di notifica e controllo per la fornitura di servizi di intermediazione dei dati;
c) un quadro per la registrazione volontaria delle entità che raccolgono e trattano i dati messi a disposizione a fini altruistici; e
d) un quadro per l'istituzione di un comitato europeo per l'innovazione in materia di dati.
2. Il presente regolamento non crea, per gli enti pubblici, alcun obbligo di consentire il riutilizzo dei dati, né esenta gli enti pubblici dai loro obblighi di riservatezza ai sensi del diritto dell'Unione o nazionale.
Il presente regolamento non pregiudica:
a) le disposizioni specifiche contenute ▌ nel diritto dell'Unione o nazionale in materia di accesso a determinate categorie di dati o di riutilizzo degli stessi, in particolare riguardo la concessione dell'accesso a documenti ufficiali e la loro divulgazione; e
b) gli obblighi degli enti pubblici a norma del diritto dell'Unione o nazionale di consentire il riutilizzo dei dati o i requisiti relativi al trattamento dei dati ▌non personali.
Qualora una normativa settoriale dell'Unione o nazionale imponga agli enti pubblici, ai fornitori di servizi di intermediazione dei dati o alle organizzazioni per l'altruismo dei dati riconosciute di rispettare specifici requisiti tecnici, amministrativi o organizzativi aggiuntivi, anche attraverso un regime di autorizzazione o certificazione, si applicano anche le pertinenti disposizioni di tale normativa settoriale dell'Unione o nazionale.
Eventuali requisiti specifici aggiuntivi sono non discriminatori, proporzionati e oggettivamente giustificati.
3. Il diritto dell'Unione e nazionale in materia di protezione dei dati personali si applica a qualsiasi dato personale trattato in relazione al presente regolamento. In particolare, il presente regolamento non pregiudica i regolamenti (UE) 2016/679 e (UE) 2018/1725 e le direttive 2002/58/CE e (UE) 2016/680, anche per quando riguarda i poteri e le competenze delle autorità di controllo. In caso di conflitto tra il presente regolamento e il diritto dell'Unione in materia di protezione dei dati personali o il diritto nazionale adottato conformemente a tale diritto dell'Unione, prevale il pertinente diritto dell'Unione o nazionale in materia di protezione dei dati personali. Il presente regolamento non crea una base giuridica per il trattamento dei dati personali e non influisce sui diritti e sugli obblighi di cui ai regolamenti (UE) 2016/679 e
(UE) 2018/1725 o alle direttive 2002/58/CE o (UE) 2016/680.
4. Il presente regolamento lascia impregiudicata l'applicazione del diritto della concorrenza.
5. Il presente regolamento lascia impregiudicate le competenze degli Stati membri per quanto riguarda le loro attività in materia di sicurezza pubblica, difesa e sicurezza nazionale.
Articolo 2 Definizioni
Ai fini del presente regolamento si applicano le definizioni seguenti:
1) "dati": qualsiasi rappresentazione digitale di atti, fatti o informazioni e qualsiasi raccolta di tali atti, fatti o informazioni, anche sotto forma di registrazione sonora, visiva o audiovisiva;
2) "riutilizzo": l'utilizzo di dati in possesso di enti pubblici da parte di persone fisiche o giuridiche a fini commerciali o non commerciali diversi dallo scopo iniziale nell'ambito dei compiti di servizio pubblico per i quali i dati sono stati prodotti, fatta eccezione per lo scambio di dati tra enti pubblici esclusivamente in adempimento dei loro compiti di servizio pubblico;
3) "dati personali": i dati personali quali definiti all'articolo 4, punto 1, del regolamento (UE) 2016/679;
4) "dati non personali": i dati diversi dai dati personali;
5) "consenso": consenso quale definito all'articolo 4, punto 11, del regolamento (UE) 2016/679;
6) "autorizzazione": il conferimento agli utenti dei dati del diritto al trattamento dei dati non personali;
7) "interessato": l'interessato ai sensi dell'articolo 4, punto 1, del regolamento (UE) 2016/679;
▌
8) "titolare dei dati": una persona giuridica, compresi gli enti pubblici e le organizzazioni internazionali, o una persona fisica che non è l'interessato rispetto agli specifici dati in questione e che, conformemente al diritto dell'Unione o nazionale applicabile, ha il diritto di concedere l'accesso a determinati dati personali o dati non personali ▌ o di condividerli;
9) "utente dei dati": una persona fisica o giuridica che ha accesso legittimo a determinati dati personali o non personali e che ha diritto, anche a norma del regolamento (UE) 2016/679 in caso di dati personali, a utilizzare tali dati a fini commerciali o non commerciali;
10) "condivisione dei dati": la fornitura di dati da un interessato o un titolare dei dati a un utente dei dati ai fini dell'utilizzo congiunto o individuale di tali dati ▌, sulla base di accordi volontari o del diritto dell'Unione o nazionale, direttamente o tramite un intermediario, ad esempio nel quadro di licenze aperte o commerciali, dietro compenso o a titolo gratuito;
11) "servizio di intermediazione dei dati": un servizio che mira a instaurare, attraverso strumenti tecnici, giuridici o di altro tipo, rapporti commerciali ai fini della condivisione dei dati tra un numero indeterminato di interessati e di titolari dei dati, da un lato, e gli utenti dei dati, dall'altro, anche al fine dell'esercizio dei diritti degli interessati in relazione ai dati personali, ad esclusione almeno di:
a) servizi che ottengono dati dai titolari dei dati e li aggregano, arricchiscono o trasformano al fine di aggiungervi un valore sostanziale e concedono licenze per l'utilizzo dei dati risultanti agli utenti dei dati, senza instaurare un rapporto commerciale tra i titolari dei dati e gli utenti dei dati;
b) servizi il cui obiettivo principale è l'intermediazione di contenuti protetti da diritto d'autore;
c) servizi utilizzati esclusivamente da un titolare dei dati per consentire l'utilizzo dei dati detenuti da tale titolare dei dati, oppure utilizzati da varie persone giuridiche all'interno di un gruppo chiuso, anche nel quadro di rapporti con i fornitori o i clienti o di collaborazioni contrattualmente stabilite, in particolare quelli aventi come obiettivo principale quello di garantire la funzionalità di oggetti o dispositivi connessi all'internet delle cose;
d) servizi di condivisione dei dati offerti da enti pubblici che non mirano a instaurare rapporti commerciali;
12) "trattamento": il trattamento quale definito all'articolo 4, punto 2, del regolamento (UE) 2016/679 in materia di dati personali o all'articolo 3, punto (2), del Regolamento (UE) 2018/1807 in materia di dati non personali;
13) "accesso": ▌l'utilizzo dei dati, conformemente a specifici requisiti tecnici, giuridici o organizzativi, che non implica necessariamente la trasmissione o lo scaricamento di dati;
14) "stabilimento principale" di una persona giuridica: il luogo in cui è stabilita la sua amministrazione centrale nell'Unione;
15) "servizi di cooperative di dati": servizi di intermediazione dei dati offerti da una struttura organizzativa costituita da interessati, imprese individuali o da PMI, che sono membri di tale struttura, avente come obiettivi principali quelli di aiutare i propri membri nell'esercizio dei loro diritti in relazione a determinati dati, anche per quanto riguarda il compiere scelte informate prima di acconsentire al trattamento dei dati, di procedere a uno scambio di opinioni sulle finalità e sulle condizioni del trattamento dei dati che rappresenterebbero al meglio gli interessi dei propri membri in relazione ai loro dati, o di negoziare i termini e le condizioni per il trattamento dei dati per conto dei membri prima di concedere l'autorizzazione al trattamento dei dati non personali o prima che essi diano il loro consenso al trattamento dei dati personali;
16) "altruismo dei dati": la condivisione volontaria di dati sulla base del consenso accordato dagli interessati al trattamento dei dati personali che li riguardano, o sulle autorizzazioni di altri titolari dei dati volte a consentire l'uso dei loro dati non personali, senza la richiesta o la ricezione di un compenso che vada oltre la compensazione dei costi sostenuti per mettere a disposizione i propri dati, per obiettivi di interesse generale, stabiliti nel diritto nazionale, ove applicabile, quali l'assistenza sanitaria, la lotta ai cambiamenti climatici, il miglioramento della mobilità, l'agevolazione dell'elaborazione, della produzione e della divulgazione di statistiche ufficiali, il miglioramento della fornitura dei servizi pubblici, l'elaborazione delle politiche pubbliche o la ricerca scientifica nell'interesse generale;
17) "ente pubblico": le autorità statali, regionali o locali, gli organismi di diritto pubblico o le associazioni formate da una o più di tali autorità oppure da uno o più di tali organismi di diritto pubblico;
18) "organismi di diritto pubblico": gli organismi che hanno le caratteristiche seguenti:
a) sono istituiti per soddisfare specificatamente bisogni d'interesse generale e non hanno carattere industriale o commerciale;
b) sono dotati di personalità giuridica;
c) le loro attività sono finanziate in modo maggioritario dallo Stato, da autorità regionali o locali o da altri organismi di diritto pubblico, o la loro gestione è soggetta alla supervisione da parte di tali autorità o organismi, oppure sono dotati di un organo di amministrazione, di direzione o di vigilanza in cui più della metà dei membri è designata dallo Stato, da autorità regionali o locali o da altri organismi di diritto pubblico;
19) "impresa pubblica": qualsiasi impresa su cui gli enti pubblici possono esercitare, direttamente o indirettamente, un'influenza dominante perché ne sono proprietari, vi hanno una partecipazione finanziaria, o in virtù di norme che disciplinano l'impresa in questione; ai fini della presente definizione si presume un'influenza dominante in uno qualsiasi dei seguenti casi in cui tali enti, direttamente o indirettamente:
a) detengono la maggioranza del capitale sottoscritto dall'impresa;
b) controllano la maggioranza dei voti cui danno diritto le azioni emesse dall'impresa;
c) possono designare più della metà dei membri dell'organo di amministrazione, di direzione o di vigilanza dell'impresa;
20) "ambiente di trattamento sicuro": l'ambiente fisico o virtuale e i mezzi organizzativi per garantire la conformità al diritto dell'Unione , quale il regolamento (UE) 2016/679, in particolare per quanto riguarda i diritti degli interessati, i diritti di proprietà intellettuale e la riservatezza commerciale e statistica, l'integrità e l'accessibilità, per garantire il rispetto del diritto dell'Unione e nazionale applicabile, e per consentire all'entità che fornisce l'ambiente di trattamento sicuro di determinare e controllare tutte le azioni di trattamento dei dati, compresi la visualizzazione, la conservazione, lo scaricamento, l'esportazione dei dati e il calcolo dei dati derivati mediante algoritmi computazionali;
21) "rappresentante legale": una persona fisica o giuridica stabilita nell'Unione esplicitamente designata ad agire per conto di un fornitore di servizi di intermediazione dei dati non stabilito nell'Unione o di un'entità non stabilita nell'Unione che raccoglie dati per obiettivi di interesse generale messi a disposizione da persone fisiche o giuridiche sulla base dell'altruismo dei dati, che può essere interpellata dalle autorità nazionali competenti per i servizi di intermediazione dei dati e dalle autorità competenti per la registrazione delle organizzazioni per l'altruismo dei dati in aggiunta o in sostituzione del fornitore di servizi di intermediazione dei dati o dell'entità in relazione agli obblighi a norma del presente regolamento, anche per quanto riguarda l'avvio di un procedimento esecutivo contro un prestatore di servizi di intermediazione dei dati o un'entità inadempiente non stabilito nell'Unione.
CAPO II
RIUTILIZZO DI DETERMINATE CATEGORIE DI DATI PROTETTI DETENUTI DA ENTI PUBBLICI
Articolo 3 Categorie di dati
1. Il presente capo si applica ai dati detenuti da enti pubblici, che sono protetti per motivi di:
a) riservatezza commerciale, compresi i segreti commerciali, professionali o d'impresa;
b) riservatezza statistica;
c) protezione dei diritti di proprietà intellettuale di terzi; o
d) protezione dei dati personali, nella misura in cui tali dati non rientrano nell'ambito di applicazione della direttiva (UE) 2019/1024.
2. Il presente capo non si applica:
a) ai dati detenuti da imprese pubbliche;
b) ai dati detenuti dalle emittenti di servizio pubblico e dalle società da esse controllate e da altri organismi o relative società controllate per l'adempimento di un compito di radiodiffusione di servizio pubblico;
c) ai dati detenuti da enti culturali e di istruzione;
d) ai dati detenuti da enti pubblici e protetti per motivi di pubblica sicurezza, difesa o sicurezza nazionale; o
e) ai dati la cui fornitura è un'attività che esula dall'ambito dei compiti di servizio pubblico degli enti pubblici in questione, quali definiti dal diritto o da altre norme vincolanti nello Stato membro interessato o, in mancanza di tali norme, quali definiti in conformità delle comuni prassi amministrative in tale Stato membro, a condizione che l'ambito di detti compiti sia trasparente e soggetto a revisione.
3. Il presente capo lascia impregiudicati:
a) il diritto dell'Unione e nazionale e gli accordi internazionali di cui l'Unione o gli Stati membri sono parte in relazione alla protezione delle categorie di dati di cui al paragrafo 1; e
b) il diritto dell'Unione e nazionale in materia di accesso ai documenti ▌.
Articolo 4
Divieto di accordi di esclusiva
1. Sono vietati gli accordi o altre pratiche relativi al riutilizzo di dati detenuti da enti pubblici e comprendenti le categorie di dati di cui all'articolo 3, paragrafo 1, che concedono diritti esclusivi o che hanno per oggetto o per effetto di concedere tali diritti esclusivi o di limitare la disponibilità di dati per il riutilizzo da parte di entità diverse dalle parti di tali accordi o altre pratiche.
2. In deroga al paragrafo 1, può essere concesso un diritto esclusivo di riutilizzo dei dati di cui a tale paragrafo nella misura necessaria alla fornitura di un servizio o di un prodotto di interesse generale che non sarebbe altrimenti possibile.
3. Un diritto esclusivo di cui al paragrafo 2 è accordato mediante atto amministrativo o accordo contrattuale a norma del diritto dell'Unione o nazionale applicabile e nel rispetto dei principi di trasparenza, parità di trattamento e non discriminazione ▌.
▌
4. La durata del diritto esclusivo di riutilizzo dei dati non supera i 12 mesi. Ove si concluda un contratto, la durata del contratto è la stessa della durata del diritto esclusivo.
5. La concessione di un diritto esclusivo a norma dei paragrafi 2, 3 e 4, compresi i motivi per cui è necessario concedere tale diritto, è trasparente ed è resa pubblica online, in una forma conforme al pertinente diritto dell'Unione in materia di appalti pubblici ▌.
6. Agli accordi o alle altre pratiche che rientrano nell'ambito di applicazione del divieto di cui al paragrafo 1, che non soddisfano le condizioni di cui ai paragrafi 2 e 3 e che sono stati conclusi prima del … [data di entrata in vigore del presente regolamento] è posto termine alla scadenza del contratto applicabile e comunque entro il … [30 mesi dalla data di entrata in vigore del presente regolamento].
Articolo 5 Condizioni per il riutilizzo
1. Gli enti pubblici che, a norma del diritto nazionale, hanno facoltà di concedere o negare l'accesso per il riutilizzo di una o più delle categorie di dati di cui all'articolo 3, paragrafo 1, rendono pubbliche le condizioni per consentire tale riutilizzo nonché la procedura di richiesta del riutilizzo attraverso lo sportello unico di cui all'articolo 8. Qualora concedano o neghino l'accesso per il riutilizzo, possono essere assistiti dagli organismi competenti di cui all'articolo 7, paragrafo 1.
Gli Stati membri garantiscono che gli enti pubblici siano dotati delle necessarie risorse per conformarsi al presente articolo.
2. Le condizioni per il riutilizzo sono non discriminatorie, trasparenti, proporzionate e oggettivamente giustificate in relazione alle categorie di dati e alle finalità del riutilizzo e alla natura dei dati per i quali è consentito il riutilizzo. Tali condizioni non sono utilizzate per limitare la concorrenza.
3. Gli enti pubblici garantiscono, conformemente al diritto dell'Unione e nazionale, la tutela della natura protetta dei dati. Essi garantiscono il rispetto dei requisiti seguenti:
a) concedere l'accesso per il riutilizzo dei dati soltanto qualora l'ente pubblico o l'organismo competente abbia garantito, in seguito alla richiesta di riutilizzo, che i dati sono stati:
i) anonimizzati, nel caso di dati personali; e
ii) modificati, aggregati o trattati mediante qualsiasi altro metodo di controllo della divulgazione, nel caso di informazioni commerciali riservate, compresi i segreti commerciali o i contenuti protetti da diritti di proprietà intellettuale;
▌
b) accedere ai dati e riutilizzare gli stessi da remoto all'interno di un ambiente di trattamento sicuro, fornito o controllato dall'ente pubblico;
c) accedere ai dati e riutilizzare gli stessi all'interno dei locali fisici in cui si trova l'ambiente di trattamento sicuro, rispettando rigorose norme di sicurezza, a condizione che l'accesso remoto non possa essere consentito senza compromettere i diritti e gli interessi di terzi.
4. In caso di riutilizzo consentito conformemente al paragrafo 3, lettere b) e c), gli enti pubblici impongono condizioni che preservino l'integrità del funzionamento dei sistemi tecnici dell'ambiente di trattamento sicuro utilizzato. L'ente pubblico si riserva il diritto di verificare il processo, i mezzi e i risultati del trattamento dei dati effettuato dal riutilizzatore per tutelare l'integrità della protezione dei dati come anche il diritto di vietare l'uso dei risultati che contengono informazioni che compromettono i diritti e gli interessi di terzi. La decisione di vietare il riutilizzo dei risultati è comprensibile e trasparente per il riutilizzatore.
5. A meno che il diritto nazionale preveda tutele specifiche sugli obblighi di riservatezza applicabili relativi al riutilizzo dei dati di cui all'articolo 3, paragrafo 1, l'ente pubblico subordina il riutilizzo dei dati forniti a norma del paragrafo 3 del presente articolo al rispetto, da parte del riutilizzatore, di un obbligo di riservatezza che vieti la divulgazione di qualsiasi informazione che comprometta i diritti e gli interessi di terzi e che il riutilizzatore possa aver acquisito malgrado le misure di tutela adottate. I riutilizzatori hanno il divieto di reidentificare gli interessati cui si riferiscono i dati e adottano misure tecniche e operative per impedire la reidentificazione e notificare all'ente pubblico qualsiasi violazione dei dati che comporti la reidentificazione degli interessati. In caso di riutilizzo non autorizzato di dati non personali il riutilizzatore informa senza ritardo, se opportuno con l'assistenza dell'ente pubblico, le persone giuridiche i cui diritti e interessi possono essere.
6. Qualora il riutilizzo dei dati non possa essere consentito in conformità degli obblighi di cui ai paragrafi 3 e 4 del presente articolo e non vi sia alcuna ▌base giuridica per la trasmissione dei dati a norma del regolamento (UE) 2016/679, l'ente pubblico si adopera al meglio, conformemente al diritto dell'Unione e nazionale, per fornire assistenza ai potenziali riutilizzatori nel richiedere il consenso degli interessati ▌o l'autorizzazione dei titolari dei dati i cui diritti e interessi possono essere interessati da tale riutilizzo, ove ciò sia fattibile senza un onere sproporzionato per l'ente pubblico. Qualora fornisca tale assistenza, l'ente pubblico può essere assistito dagli organismi competenti di cui all'articolo 7, paragrafo 1.
7. Il riutilizzo dei dati è consentito solo nel rispetto dei diritti di proprietà intellettuale. Il diritto del costitutore di una banca di dati di cui all'articolo 7, paragrafo 1, della direttiva 96/9/CE non è esercitato dagli enti pubblici al fine di impedire il riutilizzo dei dati o di limitarlo oltre i limiti stabiliti dal presente regolamento.
8. Quando i dati richiesti sono considerati riservati, conformemente al diritto dell'Unione o nazionale in materia di riservatezza commerciale o statistica, gli enti pubblici provvedono affinché i dati riservati non siano divulgati in conseguenza all'autorizzazione di tale riutilizzo, a meno che tale riutilizzo non sia consentito a norma del paragrafo 6.
9. Qualora intenda trasferire a un paese terzo dati non personali protetti per i motivi di cui all'articolo 3, paragrafo 1, il riutilizzatore informa l'ente pubblico della sua intenzione a trasferire tali dati e della finalità di tale trasferimento al momento della richiesta di riutilizzo di tali dati. In caso di riutilizzo a norma del paragrafo 6 del presente articolo, il riutilizzatore informa, se opportuno con l'assistenza dell'ente pubblico, la persona giuridica i cui diritti e interessi possono essere interessati da tale intenzione, tale finalità e tali tutele adeguate. L'ente pubblico non consente il riutilizzo a meno che la persona giuridica non dia l'autorizzazione al trasferimento.
▌
10. Gli enti pubblici trasmettono dati riservati non personali o dati protetti da diritti di proprietà intellettuale a un riutilizzatore che intende trasferire tali dati a un paese terzo diverso da un paese designato in conformità del paragrafo 12 solo se il riutilizzatore si impegna contrattualmente:
a) a rispettare gli obblighi imposti in conformità dei paragrafi 7 e 8 anche dopo il trasferimento dei dati al paese terzo; e
b) ad accettare la competenza degli organi giurisdizionali dello Stato membro dell'ente pubblico che trasmette i dati in merito a qualsiasi controversia relativa al rispetto dei paragrafi 7 e 8.
11. Gli enti pubblici forniscono, se del caso e nei limiti delle loro capacità, orientamenti e assistenza ai riutilizzatori affinché rispettino gli obblighi di cui al paragrafo 10 del presente articolo.
Al fine di assistere gli enti pubblici e i riutilizzatori, la Commissione può adottare atti di esecuzione che stabiliscano clausole contrattuali tipo per il rispetto degli obblighi di cui al paragrafo 10 del presente articolo. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 33, paragrafo 3.
12. Se giustificato da un numero considerevole di richieste in tutta l'Unione riguardanti il riutilizzo di dati non personali in determinati paesi terzi, la Commissione può adottare atti di esecuzione in cui si dichiara che le disposizioni legislative, di vigilanza e in materia di applicazione di un paese terzo:
a) garantiscono una protezione della proprietà intellettuale e dei segreti commerciali sostanzialmente equivalente a quella garantita dal diritto dell'Unione;
b) sono applicate e fatte rispettare in modo efficace; e
c) consentono un ricorso giurisdizionale effettivo.
Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 33, paragrafo 3.
13. ▌Specifici atti legislativi dell'Unione possono stabilire che determinate categorie di dati non personali detenuti da enti pubblici siano considerate altamente sensibili ai fini del presente articolo, laddove il loro trasferimento a paesi terzi possa mettere a rischio gli obiettivi di politica pubblica dell'Unione, quali la sicurezza e la salute pubblica, o possa comportare il rischio di una reidentificazione dei dati non personali anonimizzati. Qualora tale atto sia adottato, la Commissione ▌ adotta atti delegati conformemente all'articolo 32 al fine di integrare il presente regolamento stabilendo condizioni particolari applicabili ai trasferimenti di tali dati verso paesi terzi.
Tali condizioni ▌particolari si basano sulla natura delle categorie di dati non personali individuate nello specifico atto legislativo dell'Unione e sui motivi per cui tali categorie sono considerate altamente sensibili, tenendo in considerazione il rischio di una reidentificazione dei dati non personali anonimizzati. Esse sono non discriminatorie e limitate a quanto necessario per conseguire gli obiettivi di politica pubblica dell'Unione individuati in tale atto, conformemente agli obblighi internazionali dell'Unione.
Qualora richiesto dagli atti legislativi specifici dell'Unione di cui al primo comma, tali condizioni particolari possono includere termini applicabili al trasferimento o alle modalità tecniche ad esso relative, limitazioni per quanto riguarda il riutilizzo di dati in paesi terzi o categorie di persone autorizzate a trasferire tali dati a paesi terzi o, in casi eccezionali, restrizioni per quanto riguarda i trasferimenti a paesi terzi.
14. La persona fisica o giuridica cui è stato concesso il diritto di riutilizzo dei dati non personali può trasferire i dati solo ai paesi terzi per i quali sono soddisfatti i requisiti di cui ai paragrafi 10, 12 e 13.
▌
Articolo 6 Tariffe
1. Gli enti pubblici che consentono il riutilizzo delle categorie di dati di cui all'articolo 3, paragrafo 1, possono imporre tariffe per consentire il riutilizzo di tali dati.
2. Le tariffe imposte a norma del paragrafo 1 sono trasparenti, non discriminatorie, proporzionate e oggettivamente giustificate e non limitano la concorrenza.
3. Gli enti pubblici provvedono affinché le tariffe possano anche essere pagate online mediante servizi di pagamento transfrontalieri ampiamente diffusi, senza discriminazioni basate sul luogo di stabilimento del fornitore del servizio di pagamento, sul luogo di emissione dello strumento di pagamento o sull'ubicazione del conto di pagamento all'interno dell'Unione.
4. Qualora gli enti pubblici applichino tariffe, essi adottano misure per incentivare il riutilizzo delle categorie di dati di cui all'articolo 3, paragrafo 1, a fini non commerciali, quali la ricerca scientifica, e da parte delle PMI e delle start-up in conformità delle norme sugli aiuti di Stato. A tale riguardo, gli enti pubblici possono anche mettere a disposizione i dati a una tariffa ridotta o nulla, in particolare per le PMI e le start-up, la società civile e gli istituti di istruzione. A tal fine, gli enti pubblici possono stilare un elenco di categorie di riutilizzatori a cui i dati per il riutilizzo sono forniti a una tariffa ridotta o a titolo gratuito. Detto elenco è reso pubblico unitamente ai criteri adottati per la sua redazione.
5. L'ammontare di eventuali tariffe deriva dai costi relativi allo svolgimento del procedimento delle richieste di riutilizzo delle categorie di dati di cui all'articolo 3, paragrafo 1, e si limita ai costi necessari per:
a) la riproduzione, la fornitura e la diffusione dei dati;
b) l'acquisizione dei diritti;
c) l'anonimizzazione o altre forme di preparazione dei dati personali e commerciali riservati di cui all'articolo 5, paragrafo 3;
d) il mantenimento dell'ambiente di trattamento sicuro;
e) l'acquisizione del diritto di consentire il riutilizzo a norma del presente capo da parte di terzi esterni al settore pubblico, nonché;
f) l'assistenza ai riutilizzatori nel richiedere il consenso degli interessati e l'autorizzazione dei titolari dei dati i cui diritti e interessi possono essere interessati da tale riutilizzo.
6. I criteri e la metodologia di calcolo delle tariffe sono stabiliti dagli Stati membri e pubblicati. L'ente pubblico pubblica una descrizione delle principali categorie di costi e delle regole utilizzate per la ripartizione dei costi.
Articolo 7 Organismi competenti
1. Ai fini della realizzazione dei compiti di cui al presente articolo, ciascuno Stato membro designa uno o più organismi competenti, che possono essere competenti per specifici settori, per assistere gli enti pubblici che concedono o rifiutano l'accesso al riutilizzo delle categorie di dati di cui all'articolo 3, paragrafo 1. Gli Stati membri possono istituire uno o più organismi competenti nuovi o avvalersi di enti pubblici esistenti o di servizi interni di enti pubblici che soddisfano le condizioni stabilite dal presente regolamento.
2. Gli organismi competenti possono inoltre essere abilitati a concedere l'accesso per il riutilizzo delle categorie di dati di cui all'articolo 3, paragrafo 1, a norma del diritto dell'Unione o nazionale che prevede la concessione di tale accesso. Qualora concedano o neghino l'accesso per il riutilizzo, a tali organismi competenti si applicano gli articoli 4, 5, 6 e 9.
3. Gli organismi competenti dispongono di risorse giuridiche, finanziarie, tecniche e umane adeguate per svolgere i compiti loro affidati, comprese le conoscenze tecniche necessarie per poter rispettare il pertinente diritto dell'Unione o nazionale in materia di regimi di accesso per le categorie di dati di cui all'articolo 3, paragrafo 1.
4. L'assistenza di cui al paragrafo 1 comprende, ove necessario:
a) fornire assistenza tecnica mettendo a disposizione un ambiente di trattamento sicuro per la fornitura dell'accesso ai fini del riutilizzo dei dati;
b) fornire orientamenti e assistenza tecnica su come strutturare e conservare al meglio i dati per renderli facilmente accessibili;
c) fornire assistenza tecnica per la pseudonimizzazione e garantire il trattamento dei dati in modo da tutelare efficacemente la vita privata, la riservatezza, l'integrità e l'accessibilità delle informazioni contenute nei dati per i quali è consentito il riutilizzo, comprese le tecniche di anonimizzazione, generalizzazione, soppressione e randomizzazione dei dati personali o altri metodi all'avanguardia di tutela della vita privata, e la cancellazione di informazioni commerciali riservate, tra cui segreti commerciali o contenuti protetti da diritti di proprietà intellettuale;
d) se del caso, fornire assistenza agli enti pubblici affinché aiutino i riutilizzatori a richiedere agli interessati il consenso al riutilizzo o ai titolari dei dati l'autorizzazione al riutilizzo ▌, in linea con le loro decisioni specifiche ▌, anche in merito alla giurisdizione in cui si intende effettuare il trattamento dei dati, e fornire assistenza agli enti pubblici nell'istituire meccanismi tecnici che permettano di trasmettere le richieste di consenso o di autorizzazione formulate dai riutilizzatori, ove ciò sia fattibile nella pratica;
e) fornire assistenza agli enti pubblici in merito alla valutazione dell'adeguatezza degli impegni contrattuali assunti da un riutilizzatore, a norma dell'articolo 5, paragrafo 10.
▌
5. Ciascuno Stato membro notifica alla Commissione l'identità degli organismi competenti designati a norma del paragrafo 1 entro il … [15 mesi dopo la data di entrata in vigore del presente regolamento]. Ciascuno Stato membro notifica altresì alla Commissione ogni successiva modifica dell'identità di tali organismi competenti.
Articolo 8 Sportelli unici
1. Gli Stati membri provvedono affinché tutte le informazioni pertinenti relative all'applicazione degli articoli 5 e 6 siano disponibili e facilmente accessibili attraverso uno sportello unico. Gli Stati membri istituiscono un nuovo ente o designano un ente o una struttura esistente quale sportello unico. Lo sportello unico può essere collegato a sportelli settoriali, regionali o locali. Le funzioni dello sportello unico possono essere automatizzate a condizione che l'ente pubblico garantisca un sostegno adeguato.
2. Lo sportello unico è competente per il ricevimento delle richieste di informazioni e delle richieste di riutilizzo delle categorie di dati di cui all'articolo 3, paragrafo 1, e le trasmette, ove possibile e opportuno con mezzi automatizzati, agli enti pubblici competenti o, se del caso, agli organismi competenti di cui all'articolo 7, paragrafo 1. Lo sportello unico mette a disposizione per via elettronica un elenco consultabile delle risorse che comprende una panoramica di tutte le risorse di dati disponibili, tra cui, se del caso, quelle disponibili presso gli sportelli settoriali, regionali e locali, contenente informazioni pertinenti che descrivono ▌i dati disponibili, compresi almeno il formato e le dimensioni dei dati e le condizioni per il loro riutilizzo.
3. Lo sportello unico può istituire un canale di informazione distinto, semplificato e ben documentato per le PMI e le start-up, che risponda alle loro esigenze e capacità di chiedere il riutilizzo delle categorie di dati di cui all'articolo 3, paragrafo 1.
4. La Commissione istituisce un punto di accesso unico europeo che offre un registro elettronico consultabile dei dati disponibili presso gli sportelli unici nazionali e ulteriori informazioni su come richiedere i dati tramite tali sportelli unici nazionali.
Articolo 9
Procedura per le richieste di riutilizzo
1. A meno che non siano stati stabiliti termini più brevi conformemente al diritto nazionale, gli enti pubblici competenti o gli organismi competenti di cui all'articolo 7, paragrafo 1, adottano una decisione sulla richiesta di riutilizzo delle categorie di dati di cui all'articolo 3, paragrafo 1, entro due mesi dalla data di ricevimento della richiesta.
In caso di richieste eccezionalmente cospicue e complesse per il riutilizzo, tale periodo di due mesi può essere prorogato al massimo di 30 giorni. In tali casi, gli enti pubblici competenti o gli organismi competenti di cui all'articolo 7, paragrafo 1, notificano il prima possibile al richiedente che occorre più tempo per svolgere la procedura e la relativa motivazione per il ritardo.
2. Qualsiasi persona fisica o giuridica direttamente interessata dalla decisione di cui al paragrafo 1 ha l'effettivo diritto di ricorso nello Stato membro in cui è situato l'organismo in questione. Tale diritto di ricorso è stabilito nel diritto nazionale e comprende la possibilità di revisione da parte di un organo imparziale dotato delle opportune competenze, come per esempio l'autorità nazionale garante della concorrenza, l'autorità competente per l'accesso ai documenti, l'autorità di controllo istituita a norma del regolamento (UE) 2016/679, o un'autorità giudiziaria nazionale, le cui decisioni sono vincolanti per l'ente pubblico o per l'organismo competente interessato.
CAPO III
REQUISITI APPLICABILI AI SERVIZI DI INTERMEDIAZIONE DEI DATI
Articolo 10
▌Servizi di intermediazione dei dati
La fornitura dei seguenti servizi di intermediazione dei dati è conforme all'articolo 12 ed è soggetta a una procedura di notifica:
a) servizi di intermediazione tra ▌i titolari dei dati e i potenziali utenti dei dati, compresa la messa a disposizione di mezzi tecnici o di altro tipo per consentire tali servizi; tali servizi possono includere scambi di dati bilaterali o multilaterali o la creazione di piattaforme o banche dati che consentono lo scambio o l'utilizzo congiunto dei dati, nonché l'istituzione di altra infrastruttura specifica per l'interconnessione di titolari dei dati con gli utenti dei dati;
b) servizi di intermediazione tra interessati che intendono mettere a disposizione i propri dati personali o persone fisiche che intendono mettere a disposizione dati non personali e potenziali utenti dei dati, compresa la messa a disposizione di mezzi tecnici o di altro tipo per consentire tali servizi, permettendo in particolare l'esercizio dei diritti degli interessati di cui al regolamento (UE) 2016/679;
c) servizi di cooperative di dati ▌.
▌
Articolo 11
Notifica da parte dei fornitori di servizi di intermediazione dei dati
1. I fornitori di servizi di intermediazione dei dati che intendono fornire i servizi di intermediazione dei dati di cui all'articolo 10 presentano una notifica all'autorità competente per i servizi di intermediazione dei dati.
2. Ai fini del presente regolamento, un fornitore di servizi di intermediazione dei dati con stabilimenti in più di uno Stato membro è considerato soggetto alla giurisdizione dello Stato membro in cui ha lo stabilimento principale, fatto salvo il diritto dell'Unione che disciplina le azioni transfrontaliere di risarcimento danni e i procedimenti connessi.
3. Un fornitore di servizi di intermediazione dei dati che non è stabilito nell'Unione, ma che offre all'interno dell'Unione i servizi di intermediazione dei dati di cui all'articolo 10, designa un rappresentante legale in uno degli Stati membri in cui offre tali servizi.
Al fine di garantire la conformità al presente regolamento, il rappresentante legale riceve dal fornitore di servizi di intermediazione dei dati il mandato di essere interpellato oltre a tale fornitore o al suo posto dalle autorità competenti per i servizi di intermediazione dei dati o dagli interessati o dai titolari dei dati per quanto riguarda tutte le questioni relative ai servizi di intermediazione dei dati forniti. Il rappresentante legale collabora con le autorità competenti per i servizi di intermediazione dei dati e, su richiesta, dimostra loro in modo esauriente le misure adottate e le disposizioni messe in atto dal fornitore di servizi di intermediazione dei dati per garantire la conformità al presente regolamento.
Il fornitore di servizi di intermediazione dei dati è considerato soggetto alla giurisdizione dello Stato membro in cui è situato il suo rappresentante legale. La designazione di un rappresentante legale a cura del fornitore di servizi di intermediazione dei dati fa salve le azioni legali che potrebbero essere promosse contro il fornitore di servizi di intermediazione dei dati.
4. Dopo aver presentato una notifica conformemente al paragrafo 1, il fornitore di servizi di intermediazione dei dati può avviare l'attività alle condizioni stabilite nel presente capo.
5. La notifica di cui al paragrafo 1 autorizza il fornitore di servizi di intermediazione dei dati
a fornire servizi di intermediazione dei dati in tutti gli Stati membri.
6. La notifica di cui al paragrafo 1 contiene le informazioni seguenti:
a) il nome del fornitore di servizi di intermediazione dei dati;
b) lo status giuridico, la forma giuridica, l'assetto proprietario, le pertinenti società controllate e, qualora il fornitore di servizi di intermediazione dei dati sia registrato nel registro delle imprese o in un altro registro pubblico nazionale analogo, il numero di registrazione del fornitore di servizi di intermediazione dei dati;
c) l'indirizzo dell'eventuale stabilimento principale del fornitore di servizi di intermediazione dei dati nell'Unione e, se opportuno, di eventuali sedi secondarie in un altro Stato membro o l'indirizzo del rappresentante legale;
d) un sito web pubblico in cui sono reperibili informazioni complete e aggiornate sul fornitore di servizi di intermediazione dei dati e sulle sue attività, comprese almeno le informazioni di cui alle lettere a), b), c) e f);
e) le persone di contatto e i recapiti del fornitore di servizi di intermediazione dei dati;
f) una descrizione del servizio di intermediazione dei dati che il fornitore di servizi di intermediazione dei dati intende fornire e un'indicazione delle categorie elencate all'articolo 10 in cui rientra tale servizio di intermediazione dei dati;
g) la data prevista di inizio dell'attività, se diversa dalla data della notifica.
▌
7. L'autorità competente per i servizi di intermediazione dei dati assicura che la procedura di notifica sia non discriminatoria e non falsi la concorrenza.
8. Su richiesta del fornitore di servizi di intermediazione dei dati, l'autorità competente per i servizi di intermediazione dei dati rilascia, entro una settimana dalla notifica debitamente e interamente completata, una dichiarazione standardizzata in cui conferma che il fornitore di servizi di intermediazione dei dati ha presentato la notifica di cui al paragrafo 1 e che la notifica contiene le informazioni di cui al paragrafo 6.
9. Su richiesta del fornitore di servizi di intermediazione dei dati, l'autorità competente per i servizi di intermediazione dei dati conferma, che il fornitore di servizi di intermediazione dei dati è conforme alle disposizioni di cui al presente articolo e all'articolo 12. Una volta ricevuta detta conferma, il fornitore di servizi di intermediazione dei dati in questione può utilizzare il titolo "fornitore di servizi di intermediazione dei dati riconosciuto nell'Unione" nelle sue comunicazioni scritte e orali, nonché un logo comune.
Per garantire che i fornitori di servizi di intermediazione dei dati riconosciuti
nell’Unione siano facilmente identificabili in tutta l'Unione, la Commissione stabilisce, mediante atti di esecuzione, un disegno per il logo comune. I fornitori di servizi di
intermediazione dei dati riconosciuti nell’Unione espongono il logo comune in modo chiaro su ciascuna pubblicazione online e offline relativa alle loro attività di intermediazione dei dati.
Tali atti di esecuzione sono adottati secondo la procedura consultiva di cui all'articolo 33, paragrafo 2.
▌