Considerando¶
considerando quanto segue:
(1) Negli ultimi anni, le tecnologie basate sui dati hanno avuto effetti trasformativi su tutti i settori dell’economia. In particolare, la proliferazione di prodotti connessi a internet ha aumentato il volume e il valore potenziale dei dati per i consumatori, le imprese e la società. Dati interoperabili e di elevata qualità provenienti da diversi settori aumentano la competitività e l’innovazione e garantiscono una crescita economica sostenibile. Gli stessi dati possono essere utilizzati e riutilizzati per una varietà di scopi e in misura illimitata, senza alcuna perdita in termini di qualità o quantità.
(2) Gli ostacoli alla condivisione dei dati impediscono un’allocazione ottimale dei dati a vantaggio della società. Tali ostacoli comprendono la mancanza di incentivi per i titolari dei dati a stipulare volontariamente accordi di condivisione dei dati, l’incertezza sui diritti e gli obblighi in relazione ai dati, i costi per la conclusione di contratti e l’implementazione di interfacce tecniche, l’elevato livello di frammentazione delle informazioni in silos di dati, la cattiva gestione dei metadati, l’assenza di norme per l’interoperabilità semantica e tecnica, le strozzature che impediscono l’accesso ai dati, la mancanza di prassi comuni di condivisione dei dati e l’abuso degli squilibri contrattuali per quanto riguarda l’accesso ai dati e il loro uso.
(3) Nei settori caratterizzati dalla presenza di microimprese, piccole imprese e medie imprese di cui all’articolo 2 dell’allegato della raccomandazione 2003/361/CE della Commissione (5) (PMI) vi è spesso una mancanza di capacità e competenze digitali per raccogliere, analizzare e utilizzare i dati, e l’accesso è frequentemente limitato nei casi in cui sono detenuti da un unico operatore o a causa della mancanza di interoperabilità tra i dati, tra i servizi di dati o a livello transfrontaliero.
(4) Al fine di rispondere alle necessità dell’economia digitale e di eliminare gli ostacoli al buon funzionamento del mercato interno dei dati, è necessario stabilire un quadro armonizzato che specifichi chi ha il diritto di utilizzare i dati di un prodotto o di un servizio correlato, a quali condizioni e su quale base. Di conseguenza, gli Stati membri non dovrebbero adottare o mantenere requisiti nazionali supplementari per le questioni che rientrano nell’ambito di applicazione del presente regolamento, salvo ove esplicitamente previsto da quest’ultimo, in quanto ciò inciderebbe sulla sua applicazione diretta e uniforme. Inoltre, l’azione a livello dell’Unione non dovrebbe pregiudicare gli obblighi e gli impegni contenuti negli accordi commerciali internazionali conclusi dall’Unione.
(5) Il presente regolamento garantisce che gli utenti di un prodotto connesso o di un servizio correlato nell’Unione possano accedere tempestivamente ai dati generati dall’uso di tale prodotto connesso o servizio correlato e che tali utenti possano utilizzare i dati, anche condividendoli con terzi di loro scelta. Esso impone ai titolari dei dati l’obbligo di mettere i dati a disposizione degli utenti e dei terzi scelti dagli utenti in determinate circostanze. Garantisce inoltre che i titolari dei dati mettano i dati a disposizione dei destinatari dei dati nell’Unione a condizioni eque, ragionevoli e non discriminatori e in modo trasparente. Le norme di diritto privato sono fondamentali nel quadro generale della condivisione dei dati. Il presente regolamento adegua pertanto le norme di diritto contrattuale e impedisce lo sfruttamento degli squilibri contrattuali che ostacolano l’accesso equo ai dati e il loro utilizzo . Il presente regolamento garantisce inoltre che i titolari dei dati mettano a disposizione degli enti pubblici, della Commissione, della Banca centrale europea o degli organismi dell’Unione, ove vi sia una necessità eccezionale, i dati necessari per lo svolgimento di un compito specifico nell’interesse pubblico. Il presente regolamento mira altresì ad agevolare il passaggio tra servizi di trattamento dei dati e a migliorare l’interoperabilità dei dati e dei meccanismi e servizi di condivisione dei dati nell’Unione. È opportuno non interpretare il presente regolamento come un atto che riconosce o che conferisce ai titolari dei dati un nuovo diritto di utilizzare i dati generati dall’uso di un prodotto connesso o di un servizio correlato.
(6) La generazione dei dati è il risultato delle azioni di almeno due soggetti, in particolare il progettista o il fabbricante di un prodotto connesso, che in molti casi può essere anche un fornitore di servizi correlati, e l’utente del prodotto connesso o del servizio correlato. Ciò solleva questioni di equità nell’economia digitale, in quanto i dati registrati dai prodotti connessi o dai servizi correlati costituiscono un input importante per i servizi post-vendita, ausiliari e di altro tipo. Al fine di realizzare gli importanti vantaggi economici dei dati, anche mediante la condivisione dei dati sulla base di accordi volontari e lo sviluppo di una creazione di valore basata sui dati da parte delle imprese dell’Unione, è preferibile adottare un approccio generale all’assegnazione dei diritti relativi all’accesso e all’uso dei dati rispetto alla concessione di diritti esclusivi di accesso e uso. Il presente regolamento prevede norme orizzontali cui potrebbero dar seguito il diritto dell’Unione o nazionale che affronti le situazioni specifiche dei settori pertinenti.
(7) Il diritto fondamentale alla protezione dei dati personali è garantito in particolare dai regolamenti (UE) 2016/679 (6) e (UE) 2018/1725 (7) del Parlamento europeo e del Consiglio. La direttiva 2002/58/CE del Parlamento europeo e del Consiglio (8) tutela inoltre la vita privata e la riservatezza delle comunicazioni, definendo anche condizioni per l’archiviazione dei dati personali e non personali nelle apparecchiature terminali e per l’accesso agli stessi da tali apparecchiature. Tali atti legislativi dell’Unione costituiscono la base per un trattamento sostenibile e responsabile dei dati, anche nei casi in cui gli insiemi di dati comprendono una combinazione di dati personali e non personali. Il presente regolamento integra e lascia impregiudicato il diritto dell’Unione in materia di protezione dei dati personali e della vita privata, in particolare i regolamenti (UE) 2016/679 e (UE) 2018/1725 e la direttiva 2002/58/CE. Nessuna disposizione del presente regolamento dovrebbe essere applicata o interpretata in modo da ridurre o limitare il diritto alla protezione dei dati personali o il diritto alla vita privata e alla riservatezza delle comunicazioni. Qualsiasi trattamento di dati personali a norma del presente regolamento dovrebbe rispettare il diritto dell’Unione in materia di protezione dei dati, tra cui il requisito di una valida base giuridica del trattamento a norma dell’articolo 6 del regolamento (UE) 2016/679 e, se del caso, e le condizioni di cui all’articolo 9 di tale regolamento e all’articolo 5, paragrafo 3, della direttiva 2002/58/CE. Il presente regolamento non costituisce una base giuridica per la raccolta o la generazione di dati personali da parte del titolare dei dati. Il presente regolamento impone ai titolari dei dati l’obbligo, dietro richiesta di un utente, di mettere i dati personali a disposizione degli utenti o di terzi scelti dall’utente. Tale accesso dovrebbe essere fornito ai dati personali trattati dal titolare dei dati sulla scorta di una delle basi giuridiche di cui all’articolo 6 del regolamento (UE) 2016/679. Se l’utente non è l’interessato, il presente regolamento non costituisce una base giuridica per consentire l’accesso ai dati personali o per mettere i dati personali a disposizione di terzi e non dovrebbe essere inteso nel senso che conferisce al titolare dei dati un nuovo diritto di utilizzare i dati personali generati dall’uso di un prodotto connesso o di un servizio correlato. In tali casi potrebbe essere nell’interesse dell’utente facilitare il rispetto dei requisiti di cui all’articolo 6 del regolamento (UE) 2016/679. Poiché il presente regolamento non dovrebbe ledere i diritti alla protezione dei dati degli interessati, in tali casi il titolare dei dati può dar seguito alle richieste, tra l’altro, anonimizzando i dati personali o, nel caso in cui i dati prontamente disponibili contengano dati personali di più interessati, trasmettendo solo i dati personali relativi all’utente.
(8) I principi della minimizzazione dei dati e della protezione dei dati fin dalla progettazione e per impostazione predefinita sono essenziali quando il trattamento comporta rischi significativi per i diritti fondamentali delle persone. Tenendo conto dello stato dell’arte, tutte le parti coinvolte nella condivisione dei dati, comprese le condivisioni rientranti nell’ambito di applicazione del presente regolamento, dovrebbero attuare misure tecniche e organizzative per tutelare tali diritti. Tali misure comprendono non solo la pseudonimizzazione e la cifratura, ma anche l’uso di tecnologie sempre più disponibili che consentono di applicare gli algoritmi ai dati e di ricavare informazioni preziose senza la trasmissione tra le parti o la copia non necessaria dei dati stessi, siano essi grezzi o strutturati.
(9) Salvo che disponga altrimenti, il presente regolamento non pregiudica il diritto contrattuale nazionale, comprese le norme sulla formazione, la validità o l’efficacia dei contratti, o le conseguenze della risoluzione di un contratto. Il presente regolamento integra e lascia impregiudicato il diritto dell’Unione volto a promuovere gli interessi dei consumatori e a garantire un livello elevato di protezione dei consumatori, nonché a proteggere la loro salute, la loro sicurezza e i loro interessi economici, in particolare la direttiva 93/13/CEE del Consiglio (9) e le direttive 2005/29/CE (10) e 2011/83/UE (11) del Parlamento europeo e del Consiglio.
(10) Il presente regolamento lascia impregiudicati gli atti giuridici dell’Unione e nazionali che prevedono la condivisione, l’accesso e l’utilizzo dei dati a fini di prevenzione, indagine, accertamento o perseguimento di reati o allo scopo di eseguire sanzioni penali, o a fini doganali e fiscali, indipendentemente dalla base giuridica ai sensi del trattato sul funzionamento dell’Unione europea (TFUE) sulla quale tali atti dell’Unione sono stati adottati, nonché la cooperazione internazionale in tale settore, in particolare sulla base della Convenzione del Consiglio d’Europa sulla criminalità informatica (STE n. 185), firmata a Budapest il 23 novembre 2001. Tali atti comprendono i regolamenti (UE) 2021/784 (12), (UE) 2022/2065 (13) e (UE) 2023/1543 (14) del Parlamento europeo e del Consiglio e la direttiva (UE) 2023/1544 del Parlamento europeo e del Consiglio (15) . Il presente regolamento non si applica alla raccolta o alla condivisione, all’accesso o all’utilizzo di dati a norma del regolamento (UE) 2015/847 del Parlamento europeo e del Consiglio (16) e della direttiva (UE) 2015/849 del Parlamento europeo e del Consiglio (17) . Il presente regolamento non si applica ai settori che non rientrano nell’ambito di applicazione del diritto dell’Unione e in ogni caso non pregiudica le competenze degli Stati membri in materia di pubblica sicurezza, difesa o sicurezza nazionale, amministrazione doganale e fiscale o salute e sicurezza dei cittadini, indipendentemente dal tipo di entità incaricata dagli Stati membri di svolgere compiti in relazione a tali competenze.
(11) Fatte salve disposizioni specifiche del presente regolamento, il diritto dell’Unione che stabilisce requisiti in materia di progettazione fisica e di dati per i prodotti da immettere sul mercato dell’Unione dovrebbe rimanere impregiudicato.
(12) Il presente regolamento integra e lascia impregiudicato il diritto dell’Unione volto a stabilire requisiti di accessibilità per determinati prodotti e servizi, in particolare la direttiva (UE) 2019/882 del Parlamento europeo e del Consiglio (18) .
(13) Il presente regolamento lascia impregiudicati gli atti giuridici dell’Unione e nazionali che prevedono la protezione dei diritti di proprietà intellettuale, comprese le direttive 2001/29/CE (19), 2004/48/CE (20) e (UE) 2019/790 (21) del Parlamento europeo e del Consiglio.
(14) Fatta eccezione per i prototipi, i prodotti connessi che ottengono, generano o raccolgono, mediante i loro componenti o sistemi operativi, dati relativi alle loro prestazioni, al loro uso o al loro ambiente e che sono in grado di comunicare tali dati tramite un servizio di comunicazione elettronica, una connessione fisica o l’accesso su dispositivo, spesso denominati «internet delle cose», dovrebbero rientrare nell’ambito di applicazione del presente regolamento. Esempi di tali servizi di comunicazione elettronica comprendono, in particolare, le reti telefoniche terrestri, le reti televisive via cavo, le reti satellitari e le reti di comunicazione in prossimità (NFC). I prodotti connessi sono presenti in tutti gli aspetti dell’economia e della società, tra cui infrastrutture private, civili o commerciali, veicoli, attrezzature sanitarie e legate allo stile di vita, navi, aeromobili, apparecchiature domestiche e beni di consumo, dispositivi medici e sanitari o macchine agricole e industriali. Le scelte di progettazione dei fabbricanti e, se del caso, il diritto dell’Unione o nazionale volto a rispondere alle esigenze specifiche del settore e gli obiettivi o le pertinenti decisioni delle autorità competenti dovrebbero determinare quali dati un prodotto connesso è in grado di mettere a disposizione.
(15) I dati rappresentano la digitalizzazione delle azioni e degli eventi degli utenti e dovrebbero pertanto essere accessibili all’utente. Le norme per l’accesso ai dati provenienti da prodotti connessi e servizi correlati e per il loro utilizzo ai sensi del presente regolamento riguardano sia i dati del prodotto sia i dati del servizio correlato. Con il termine «dati del prodotto» si fa riferimento ai dati generati dall’uso di un prodotto connesso e progettati dal fabbricante in modo tale che un utente, il titolare dei dati o terzi, compreso se del caso il fabbricante, possano reperirli dal prodotto connesso. Con il termine «dati del servizio correlato» si fa riferimento ai dati che rappresentano altresì la digitalizzazione delle azioni o degli eventi degli utenti relativi al prodotto connesso e che sono generati durante la fornitura di un servizio correlato da parte del fornitore. I dati generati dall’uso di un prodotto connesso o di un servizio correlato dovrebbero essere intesi come dati registrati intenzionalmente o dati che derivano indirettamente dall’azione dell’utente, ad esempio i dati relativi all’ambiente o alle interazioni del prodotto connesso. Ciò dovrebbe comprendere i dati sull’uso di un prodotto connesso generati da un’interfaccia utente o tramite un servizio correlato e non dovrebbe limitarsi all’informazione relativa al fatto che tale uso è avvenuto, ma dovrebbe comprendere tutti i dati generati dal prodotto connesso a seguito di tale uso, ad esempio i dati generati automaticamente da sensori e i dati registrati da applicazioni incorporate, incluse le applicazioni indicanti lo stato dell’hardware e i malfunzionamenti. Dovrebbe altresì comprendere i dati generati dal prodotto connesso o dal servizio correlato durante i periodi di inattività dell’utente, ad esempio quando quest’ultimo sceglie di non utilizzare un prodotto connesso per un determinato periodo di tempo ma di tenerlo in modalità stand-by o addirittura spento, in quanto lo stato di un prodotto connesso o dei suoi componenti, ad esempio le batterie, può variare quando il prodotto connesso è in modalità stand-by o spento. I dati che non sono modificati in modo sostanziale, ossia i dati in forma grezza, noti anche come dati fonte o dati primari che si riferiscono a punti di dati generati automaticamente senza alcuna ulteriore forma di trattamento, e i dati che sono stati pretrattati al fine di renderli comprensibili e utilizzabili prima di ulteriori operazioni di trattamento e analisi rientrano nell’ambito di applicazione del presente regolamento. Tali dati comprendono i dati raccolti da un unico sensore o da un gruppo connesso di sensori al fine di rendere i dati raccolti comprensibili per casi d’uso più ampi, determinando una quantità o una qualità fisica o la modifica di una quantità fisica, quale la temperatura, la pressione, la portata, l’audio, il valore del pH, il livello del liquido, la posizione, l’accelerazione o la velocità. Il termine «dati pretrattati» non dovrebbe essere interpretato in modo da imporre al titolare dei dati l’obbligo di effettuare investimenti sostanziali nella pulizia e nella trasformazione dei dati. I dati messi a disposizione dovrebbero comprendere i pertinenti metadati, inclusi il contesto di base e la marca temporale, al fine di rendere i dati utilizzabili, in combinazione con altri dati, come i dati ordinati e classificati con altri punti di dati ad essi relativi, o riformattati in un formato di uso comune. Tali dati sono potenzialmente preziosi per l’utente e sostengono l’innovazione e lo sviluppo di servizi digitali e di altro tipo per tutelare l’ambiente, la salute e l’economia circolare, anche agevolando la manutenzione e la riparazione dei prodotti connessi in questione. Per contro, le informazioni dedotte o ricavate da tali dati, che sono il risultato di ulteriori investimenti nell’attribuzione di valori o informazioni derivanti dai dati, in particolare mediante algoritmi proprietari complessi, compresi quelli appartenenti a un software proprietario, dovrebbero essere considerate escluse dall’ambito di applicazione del presente regolamento e, di conseguenza, non essere soggette all’obbligo del titolare dei dati di metterle a disposizione di un utente o di un destinatario dei dati, salvo diverso accordo tra l’utente e il titolare dei dati. Tali dati potrebbero comprendere in particolare le informazioni ricavate dall’integrazione dei sensori, che consente di dedurre o ricavare i dati da più sensori, raccolti nel prodotto connesso, utilizzando algoritmi proprietari complessi, e che potrebbero essere soggetti a diritti di proprietà intellettuale.
(16) Il presente regolamento consente agli utenti di prodotti connessi di beneficiare di servizi post-vendita, ausiliari e di altro tipo sulla base dei dati raccolti dai sensori incorporati in tali prodotti, in quanto la raccolta di tali dati è potenzialmente utile per il miglioramento delle prestazioni dei prodotti connessi. È importante distinguere tra i mercati per la fornitura di tali prodotti connessi dotati di sensori e servizi correlati, da un lato, e i mercati per i software e i contenuti non correlati, come i contenuti testuali, audio o audiovisivi spesso soggetti a diritti di proprietà intellettuale, dall’altro. Di conseguenza, i dati generati da tali prodotti connessi dotati di sensori quando l’utente registra, trasmette, visualizza o riproduce contenuti, nonché i contenuti stessi, spesso soggetti a diritti di proprietà intellettuale, anche per l’uso da parte di un servizio online, non dovrebbero rientrare nell’ambito di applicazione del presente regolamento. Il presente regolamento non dovrebbe inoltre applicarsi ai dati ottenuti, generati o consultati dal prodotto connesso, o ad esso trasmessi, a fini di archiviazione o altre operazioni di trattamento per conto di altre parti diverse dall’utente, come nel caso di server o infrastrutture cloud gestiti dai rispettivi proprietari interamente per conto di terzi, anche per uso da parte di un servizio online.
(17) È necessario stabilire norme relative ai prodotti che sono connessi a un servizio correlato al momento dell’acquisto, della locazione o del noleggio in modo tale che la sua assenza impedirebbe al prodotto connesso di svolgere una o più delle sue funzioni, oppure che è successivamente connesso al prodotto dal fabbricante o da un terzo al fine di ampliare o adattare la funzionalità del prodotto connesso. Tali servizi correlati comportano lo scambio di dati tra il prodotto connesso e il fornitore del servizio e dovrebbero essere intesi come esplicitamente collegati all’attivazione delle funzioni del prodotto connesso, come i servizi che, se del caso, trasmettono comandi al prodotto connesso che sono in grado di influenzarne l’azione e il comportamento. I servizi che non incidono sul funzionamento del prodotto connesso e che non comportano la trasmissione di dati o comandi al prodotto connesso da parte del fornitore del servizio non dovrebbero essere considerati servizi correlati. Tali servizi potrebbero includere, ad esempio, servizi ausiliari di consulenza, di analisi o finanziari o regolari servizi di riparazione e manutenzione. I servizi correlati possono essere offerti come parte del contratto di compravendita, di locazione o di noleggio. I servizi correlati potrebbero anche essere forniti per prodotti dello stesso tipo e gli utenti potrebbero ragionevolmente aspettarsi che siano forniti in considerazione della natura del prodotto connesso e di qualsiasi dichiarazione pubblica resa dal venditore, dal locatore, dal noleggiante o da altre persone nei precedenti anelli della catena di transazioni commerciali, compreso il fabbricante, o per loro conto. Tali servizi correlati possono generare essi stessi dati utili per l’utente indipendentemente dalle capacità di raccolta dei dati del prodotto connesso con il quale sono interconnessi. Il presente regolamento dovrebbe applicarsi anche a un servizio correlato che non è fornito dal venditore, dal locatore o dal noleggiante stesso, bensì da un terzo. In caso di dubbi sul fatto che la fornitura del servizio faccia parte del contratto di compravendita, di locazione o di noleggio, è opportuno applicare il presente regolamento. Ai sensi del presente regolamento, non si considerano servizi correlati né l’approvvigionamento di energia né la fornitura di connettività.
(18) L’utente di un prodotto connesso dovrebbe essere inteso come una persona fisica o giuridica, ad esempio un’impresa, un consumatore o un ente pubblico, che è proprietario di un prodotto connesso, ha ricevuto determinati diritti temporanei, ad esempio in virtù di un contratto di locazione o di noleggio, per accedere ai dati ottenuti dal prodotto connesso o per utilizzarli, o che riceve servizi correlati per il prodotto connesso. Tali diritti di accesso non dovrebbero modificare né pregiudicare in alcun modo i diritti degli interessati che eventualmente interagiscono con un prodotto connesso o un servizio correlato per quanto riguarda i dati personali generati dal prodotto connesso o durante la fornitura del servizio correlato. L’utente sopporta i rischi e gode dei vantaggi derivanti dall’uso del prodotto connesso e dovrebbe beneficiare anche dell’accesso ai dati che esso genera. L’utente dovrebbe pertanto avere il diritto di trarre vantaggio dai dati generati da tale prodotto connesso e da qualsiasi servizio correlato. Un proprietario, locatario o noleggiante dovrebbe altresì essere considerato un utente, anche quando più entità possono essere considerate utenti. In presenza di più utenti, ciascun utente può contribuire in modo diverso alla generazione dei dati ed essere interessato a varie forme di utilizzo, come la gestione della flotta per un’impresa di leasing o soluzioni di mobilità per le persone che utilizzano un servizio di car sharing.
(19) Per «alfabetizzazione in materia di dati» si intendono le competenze, le conoscenze e la comprensione che consentono agli utenti, ai consumatori e alle imprese, in particolare le PMI che rientrano nell’ambito di applicazione del presente regolamento, di acquisire consapevolezza in merito al valore potenziale dei dati da essi generati, prodotti e condivisi e ai quali sono motivate a offrire e fornire accesso conformemente alle pertinenti norme giuridiche. L’alfabetizzazione in materia di dati dovrebbe andare oltre l’apprendimento di strumenti e tecnologie e mirare a dotare i cittadini e le imprese della capacità di beneficiare di un mercato dei dati inclusivo ed equo. La diffusione di misure di alfabetizzazione in materia di dati e l’introduzione di adeguate azioni di seguito potrebbero contribuire a migliorare le condizioni di lavoro e, in ultima analisi, sostenere il consolidamento e il percorso di innovazione dell’economia dei dati nell’Unione. Le autorità competenti dovrebbero promuovere strumenti e adottare misure volte a migliorare l’alfabetizzazione in materia di dati tra gli utenti e le entità che rientrano nell’ambito di applicazione del presente regolamento e la consapevolezza dei loro diritti e obblighi che ne derivano.
(20) Nella pratica, non tutti i dati generati dai prodotti connessi o dai servizi correlati sono facilmente accessibili agli utenti e le possibilità relative alla portabilità dei dati generati da prodotti connessi a internet sono spesso limitate . Gli utenti non sono in grado di ottenere i dati necessari per avvalersi dei fornitori di servizi di riparazione e di altri servizi e le imprese non sono in grado di introdurre servizi innovativi, convenienti e più efficienti. In molti settori i fabbricanti sono in grado di determinare, attraverso il controllo della progettazione tecnica dei prodotti connesso o dei servizi correlati, quali dati sono generati e le modalità per potervi accedere, anche se non hanno alcun diritto legale a tali dati. È pertanto necessario garantire che i prodotti connessi siano progettati e fabbricati e che i servizi correlati siano progettati e forniti in modo tale che i dati del prodotto e del servizio correlato, compresi i pertinenti metadati necessari per interpretare e utilizzare tali dati, anche al fine di reperirli, utilizzarli o condividerli, siano sempre accessibili in modo facile e sicuro a un utente, a titolo gratuito, in un formato completo, strutturato, di uso comune e leggibile da dispositivo automatico. I dati del prodotto e i dati di un servizio correlato che un titolare dei dati ottiene o può ottenere legittimamente dal prodotto connesso o dal servizio correlato, ad esempio attraverso la progettazione del prodotto connesso, il contratto del titolare dei dati con l’utente per la fornitura dei servizi correlati e i mezzi tecnici per accedere ai dati, senza che ciò implichi uno sforzo sproporzionato, sono definiti «dati prontamente disponibili». I dati prontamente disponibili non includono i dati generati dall’uso di un prodotto connesso quando la progettazione del prodotto non prevede che tali dati siano archiviati o trasmessi al di fuori del componente in cui sono generati o del prodotto connesso nel suo complesso. Il presente regolamento non dovrebbe pertanto essere inteso in modo da imporre l’obbligo di archiviare i dati nell’unità di calcolo centrale di un prodotto connesso. L’assenza di tale obbligo non dovrebbe impedire al fabbricante o al titolare dei dati di concordare volontariamente con l’utente di procedere a tali adattamenti. Gli obblighi di progettazione di cui al presente regolamento non pregiudicano inoltre il principio della minimizzazione dei dati sancito dall’articolo 5, paragrafo 1, lettera c), del regolamento (UE) 2016/679 e non dovrebbero essere intesi nel senso di imporre l’obbligo di progettare prodotti connessi e servizi correlati in modo tale da archiviare o altrimenti trattare dati personali diversi dai dati personali necessari rispetto alle finalità per le quali sono trattati. Si potrebbero introdurre norme di diritto dell’Unione o nazionale per indicare ulteriori specificità, come i dati del prodotto che dovrebbero essere accessibili da prodotti connessi o servizi correlati, poiché tali dati possono essere essenziali per il funzionamento, la riparazione o la manutenzione efficienti di tali prodotti connessi o servizi correlati. Qualora successivi aggiornamenti o modifiche di un prodotto connesso o di un servizio correlato, a opera del fabbricante o di un’altra parte, comportino dati accessibili aggiuntivi o una limitazione dei dati inizialmente accessibili, tali modifiche dovrebbero essere comunicate all’utente nel contesto dell’aggiornamento o della modifica.
(21) Laddove più persone o entità siano considerate utenti, ad esempio in caso di comproprietà o laddove un proprietario, locatario o noleggiatore condivida diritti di accesso ai dati o di utilizzo degli stessi, la progettazione del prodotto connesso o del servizio correlato o dell’interfaccia pertinente dovrebbe consentire a tutti gli utenti di avere accesso ai dati che generano. All’ utente di prodotti connessi che generano dati è in genere richiesto di creare un account utente. Tale account consente l’identificazione dell’utente da parte del titolare dei dati, che può essere il fabbricante. Può anche essere utilizzato come mezzo di comunicazione e per presentare e trattare richieste di accesso ai dati. Nel caso in cui più fabbricanti o fornitori di servizi correlati abbiano venduto, dato in locazione o noleggiato prodotti connessi o fornito servizi correlati, integrati insieme, allo stesso utente, l’utente dovrebbe rivolgersi a ciascuna delle parti con cui ha concluso un contratto. I fabbricanti o i progettisti di un prodotto connesso generalmente utilizzato da più persone dovrebbero porre in essere i meccanismi necessari per consentire, se del caso, account utente separati per le singole persone o la possibilità per più persone di utilizzare lo stesso account utente. Le soluzioni per gli account dovrebbero consentire agli utenti di eliminare i propri account e cancellare i dati ad essi connessi e potrebbero consentire agli utenti di interrompere l’accesso ai dati, il loro utilizzo o la loro condivisione o di presentare richieste di interruzione, in particolare tenendo conto delle situazioni in cui la proprietà o l’uso del prodotto connesso cambiano. L’accesso dovrebbe essere accordato all’utente su semplice richiesta, tramite un meccanismo che consenta l’esecuzione automatica e non richieda un esame o un’autorizzazione da parte del fabbricante o del titolare dei dati. Ciò significa che i dati dovrebbero essere messi a disposizione solo quando l’utente desidera effettivamente l’accesso. Qualora l’esecuzione automatizzata della richiesta di accesso ai dati non sia possibile, ad esempio attraverso un account utente o un’applicazione mobile complementare fornita con il prodotto connesso o il servizio correlato, il fabbricante dovrebbe informare l’utente in merito alle modalità di accesso ai dati.
(22) I prodotti connessi possono essere progettati in modo da rendere alcuni dati direttamente accessibili da un archivio dati sul dispositivo o da un server remoto al quale i dati sono comunicati. L’accesso all’archivio dati sul dispositivo può essere consentito tramite reti locali via cavo o senza fili collegate a un servizio di comunicazione elettronica accessibile al pubblico o a una rete mobile. Il server può essere il server locale del fabbricante o quello di un terzo o di un fornitore di servizi cloud. Si ritiene che i responsabili del trattamento quali definiti all’articolo 2, punto 8), del regolamento (UE) 2016/679 non fungano da titolari dei dati. Tuttavia, essi possono essere specificamente incaricati dal titolare del trattamento, quale definito all’articolo 2, punto 7), del regolamento (UE) 2016/679, di rendere i dati disponibili. I prodotti connessi possono essere progettati in modo da consentire all’utente o a un terzo di trattare i dati del prodotto connesso, su un’istanza di calcolo del fabbricante o in un ambiente di tecnologia dell’informazione (IT) scelti dall’utente o dal terzo.
(23) Gli assistenti virtuali svolgono un ruolo crescente nella digitalizzazione degli ambienti dei consumatori e professionali e fungono da interfaccia di facile utilizzo per riprodurre contenuti, ottenere informazioni o attivare prodotti connessi a internet . Gli assistenti virtuali possono fungere da punto di accesso unico, ad esempio, in un ambiente domestico intelligente e registrare quantità significative di dati pertinenti sul modo in cui gli utenti interagiscono con i prodotti connessi a internet, compresi quelli fabbricati da altre parti; possono inoltre sostituire l’uso di interfacce fornite dal fabbricante quali schermi tattili o applicazioni per smartphone. L’utente potrebbe voler mettere tali dati a disposizione di fabbricanti terzi e consentire così la realizzazione di nuovi servizi intelligenti. Gli assistenti virtuali dovrebbero essere contemplati dai diritti di accesso ai dati di cui al presente regolamento. Dovrebbero essere contemplati dai diritti di accesso ai dati di cui al presente regolamento anche i dati generati quando un utente interagisce con un prodotto connesso tramite un assistente virtuale fornito da un’entità diversa dal fabbricante del prodotto connesso. Tuttavia, solo i dati derivanti dall’interazione tra l’utente e un prodotto connesso o un servizio correlato attraverso l’assistente virtuale dovrebbero rientrare nell’ambito di applicazione del presente regolamento. I dati prodotti dall’assistente virtuale non correlati all’uso di un prodotto connesso o di un servizio correlato non rientrano nell’ambito di applicazione del presente regolamento.
(24) Prima di concludere un contratto per l’acquisto, la locazione o il noleggio di un prodotto connesso, è opportuno che il venditore, il locatore o il noleggiante, che può essere il fabbricante, fornisca all’utente informazioni sui dati del prodotto che il prodotto connesso può generare, compresi il tipo, il formato e il volume stimato di tali dati, in modo chiaro e comprensibile. Tra queste potrebbero rientrare informazioni sulle strutture e i formati dei dati, i vocabolari, gli schemi di classificazione, le tassonomie e gli elenchi dei codici, ove disponibili, nonché informazioni chiare e sufficienti pertinenti per l’esercizio dei diritti dell’utente sulle modalità di archiviazione e reperimento dei dati o di accesso agli stessi, comprese le condizioni di utilizzo e la qualità del servizio delle interfacce di programmazione delle applicazioni oppure, se del caso, la fornitura di kit di sviluppo software. Tale obbligo garantisce la trasparenza dei dati del prodotto generati e migliora la facilità di accesso per l’utente. L’obbligo di informazione potrebbe essere soddisfatto, ad esempio, mantenendo un identificatore uniforme di risorse (URL) stabile sul web, distribuibile come link web o codice QR, che conduce alle informazioni pertinenti e che il venditore, il locatore o il noleggiante, che può essere il fabbricante, potrebbe fornire all’utente prima della conclusione del contratto di acquisto, locazione o noleggio di un prodotto connesso. In ogni caso, è necessario che l’utente possa archiviare le informazioni in modo che siano accessibili per consultazione futura e in modo da consentire la riproduzione inalterata delle informazioni conservate. Non ci si può attendere che il titolare dei dati conservi i dati a tempo indeterminato in considerazione delle esigenze dell’utente del prodotto connesso; tuttavia, tale titolare dovrebbe attuare una ragionevole politica di conservazione dei dati, se del caso, in linea con il principio di limitazione della conservazione di cui all’articolo 5, paragrafo1, lettera e), del regolamento (UE) 2016/679, che consenta l’effettiva applicazione dei diritti di accesso ai dati di cui al presente regolamento. L’obbligo di fornire informazioni non pregiudica l’obbligo per il titolare del trattamento di fornire informazioni all’interessato ai sensi degli articoli 12, 13 e 14 del regolamento (UE) 2016/679. L’obbligo di fornire informazioni prima della conclusione di un contratto per la fornitura di un servizio correlato dovrebbe incombere al potenziale titolare dei dati, indipendentemente dal fatto che il titolare dei dati concluda un contratto di acquisto, locazione o noleggio di un prodotto connesso. Le informazioni dovrebbero essere fornite all’utente anche in caso di variazione delle stesse nel corso della durata di vita del prodotto connesso o del periodo contrattuale per il servizio correlato, in particolare laddove la finalità per la quale tali dati devono essere utilizzati cambi rispetto alla finalità originariamente specificata.
(25) È opportuno non considerare il presente regolamento come un atto che conferisce ai titolari dei dati un nuovo diritto di utilizzare i dati del prodotto o di un servizio correlato. Se il fabbricante di un prodotto connesso è un titolare dei dati, la base per l’utilizzo di dati non personali da parte del fabbricante dovrebbe essere un contratto tra il fabbricante e l’utente. Tale contratto dovrebbe far parte di un accordo per la fornitura del servizio correlato, che può essere fornito unitamente al contratto di vendita, di locazione o di noleggio relativo al prodotto connesso. Qualsiasi clausola contrattuale che preveda che il titolare dei dati possa utilizzare i dati del prodotto o di un servizio correlato dovrebbe essere trasparente per l’utente, anche per quanto riguarda le finalità per le quali il titolare dei dati intende utilizzare i dati. Tali finalità potrebbero includere il miglioramento del funzionamento del prodotto connesso o dei servizi correlati, lo sviluppo di nuovi prodotti o servizi o l’aggregazione di dati allo scopo di mettere a disposizione di terzi i dati derivati ottenuti, a condizione che tali dati derivati non consentano l’identificazione di dati specifici trasmessi al titolare dei dati dal prodotto connesso o consentano a terzi di ricavare tali dati dall’insieme di dati. Qualsiasi modifica del contratto dovrebbe essere subordinata al consenso informato dell’utente. Il presente regolamento non preclude alle parti di convenire condizioni contrattuali che abbiano l’effetto di escludere o limitare l’uso dei dati non personali, o di talune categorie di dati non personali, da parte del titolare dei dati. Inoltre, non preclude alle parti di convenire di mettere a disposizione di terzi, direttamente o indirettamente, anche, se del caso, tramite un altro titolare dei dati, i dati del prodotto o di un servizio correlato. Il presente regolamento non preclude altresì requisiti normativi settoriali specifici ai sensi del diritto dell’Unione, o del diritto nazionale compatibile con il diritto dell’Unione, che escluderebbero o limiterebbero l’uso di alcuni di tali dati da parte del titolare dei dati per motivi ben definiti di ordine pubblico. Il presente regolamento non impedisce agli utenti, nel caso di relazioni tra imprese, di mettere i dati a disposizione di terzi o dei titolari dei dati a qualsiasi clausola contrattuale lecita, anche accettando di limitare o circoscrivere l’ulteriore condivisione di tali dati o di ricevere un compenso proporzionale, ad esempio in cambio della rinuncia al diritto di utilizzare o condividere tali dati. Sebbene la nozione di «titolare dei dati» non comprenda generalmente gli enti pubblici, può includere le imprese pubbliche.
(26) Per favorire l’emergere di mercati liquidi, equi ed efficienti per i dati non personali, gli utenti dei prodotti connessi dovrebbero poter condividere i dati con altri, anche a fini commerciali, con uno sforzo giuridico e tecnico minimo. Attualmente è spesso difficile per le imprese giustificare i costi per il personale o per l’informatica necessari per preparare insiemi di dati non personali o prodotti di dati e offrirli a potenziali controparti attraverso i servizi di intermediazione dei dati, compresi i mercati dei dati. Un ostacolo sostanziale alla condivisione dei dati non personali da parte delle imprese dipende pertanto dalla mancanza di prevedibilità dei rendimenti economici derivanti dagli investimenti nella cura e nella messa a disposizione degli insiemi di dati o dei prodotti di dati. Affinché nell’Unione emergano mercati liquidi, equi ed efficienti per i dati non personali è necessario chiarire quale soggetto ha il diritto di offrire tali dati su un mercato. Gli utenti dovrebbero pertanto avere il diritto di condividere dati non personali con destinatari dei dati per finalità commerciali e non commerciali. Tale condivisione dei dati potrebbe essere effettuata direttamente dall’utente mediante un titolare dei dati su richiesta dell’utente o mediante servizi di intermediazione dei dati. I servizi di intermediazione dei dati, disciplinati dal regolamento (UE) 2022/868 del Parlamento europeo e del Consiglio (22), potrebbero agevolare l’economia dei dati instaurando relazioni commerciali tra utenti, destinatari dei dati e terzi e possono aiutare gli utenti a esercitare il loro diritto di utilizzare i dati, ad esempio garantendo l’ anonimizzazione dei dati personali o l’aggregazione dell’accesso ad essi da parte di molteplici singoli utenti. Qualora l’obbligo di un titolare dei dati di metterli a disposizione degli utenti o di terzi non si applichi a determinati dati, la portata dei dati in questione potrebbe essere specificata nel contratto concluso tra l’utente e il titolare dei dati per la fornitura di un servizio correlato, in modo che gli utenti possano determinare facilmente quali dati possono condividere con i destinatari dei dati o con terzi. I titolari dei dati non dovrebbero mettere a disposizione di terzi i dati del prodotto non personali a fini commerciali o non commerciali diversi dall’esecuzione del loro contratto con l’utente, fatti salvi gli obblighi giuridici ai sensi del diritto dell’Unione o nazionale che impongono a un titolare dei dati di mettere i dati a disposizione. Se del caso, i titolari dei dati dovrebbero vincolare contrattualmente i terzi a non condividere ulteriormente i dati da essi ricevuti.
(27) Nei settori caratterizzati dalla concentrazione di un piccolo numero di fabbricanti che forniscono agli utenti finali prodotti connessi, vi possono essere solo opzioni limitate a disposizione degli utenti per l’accesso, l’utilizzo e la condivisione dei dati. In tali circostanze i contratti potrebbero essere insufficienti per conseguire l’obiettivo di conferire maggiori poteri agli utenti, rendendo difficile per gli utenti ottenere valore dai dati generati dai prodotti connessi che acquistano, prendono in locazione o noleggiano. Di conseguenza le imprese innovative più piccole hanno un potenziale limitato nell’offrire soluzioni basate sui dati in modo competitivo e a favore di un’economia dei dati diversificata nell’Unione. Il presente regolamento dovrebbe pertanto basarsi sui recenti sviluppi in settori specifici, come il codice di condotta sulla condivisione dei dati agricoli mediante contratto. Potrebbero dunque essere adottate norme di diritto dell’Unione o nazionale per rispondere alle necessità e agli obiettivi settoriali specifici. Inoltre, i titolari dei dati non dovrebbero utilizzare dati prontamente disponibili che non sono dati personali al fine di ottenere informazioni sulla situazione economica, sulle risorse o sui metodi di produzione dell’utente o sul loro utilizzo da parte di quest’ultimo in qualsiasi altro modo che possa compromettere la posizione commerciale di tale utente sui mercati in cui è attivo. Ciò potrebbe riguardare l’utilizzo di conoscenze sulle prestazioni complessive di un’impresa o di un’azienda agricola in trattative contrattuali con l’utente in merito alla potenziale acquisizione dei prodotti o della produzione agricola dell’utente a danno di quest’ultimo, o l’utilizzo di tali informazioni per alimentare banche di dati più ampie su alcuni mercati in forma aggregata ad esempio, banche di dati sulle rese delle colture per la prossima stagione di raccolta, in quanto tale utilizzo potrebbe incidere negativamente sull’utente in modo indiretto. L’utente dovrebbe disporre dell’interfaccia tecnica necessaria per gestire le autorizzazioni, preferibilmente con opzioni di autorizzazione dettagliate, come «consenti una sola volta» o «consenti durante l’utilizzo di questa app o servizio», compresa la possibilità di revocare tali autorizzazioni.
(28) Nei contratti tra un titolare dei dati e un consumatore in quanto utente di un prodotto connesso o di un servizio correlato che genera dati, si applica la normativa dell’Unione in materia di consumatori, in particolare le direttive 93/13/CEE e 2005/29/CE, per garantire che il consumatore non sia soggetto a clausole contrattuali abusive. Ai fini del presente regolamento le clausole contrattuali abusive imposte unilateralmente a un’impresa non dovrebbero essere vincolanti per tale impresa.
(29) I titolari dei dati possono richiedere un’adeguata identificazione dell’utente per verificare il diritto dell’utente di accedere ai dati. Nel caso di dati personali trattati da un responsabile del trattamento per conto del titolare del trattamento, i titolari dei dati dovrebbero garantire che la richiesta di accesso sia ricevuta e trattata dal responsabile del trattamento.
(30) L’utente dovrebbe essere libero di utilizzare i dati per qualsiasi finalità legittima. Ciò include la fornitura dei dati che l’utente ha ricevuto nell’esercizio dei suoi diritti di cui al presente regolamento a un terzo che offre un servizio post-vendita che può essere in concorrenza con un servizio fornito da un titolare dei dati, o l’incarico al titolare dei dati di agire in tal senso. La richiesta dovrebbe essere presentata dall’utente o da un terzo autorizzato che agisce per conto dell’utente, compreso un fornitore di un servizio di intermediazione dei dati. I titolari dei dati dovrebbero garantire che i dati messi a disposizione del terzo siano tanto accurati, completi, affidabili, pertinenti e aggiornati quanto i dati ai quali il titolare stesso può essere in grado o avere il diritto di accedere in virtù dell’uso del prodotto connesso o del servizio correlato. Nel trattamento dei dati dovrebbero essere rispettati eventuali diritti di proprietà intellettuale. È importante mantenere gli incentivi a investire in prodotti con funzionalità basate sull’uso di dati provenienti da sensori integrati in tali prodotti.
(31) La direttiva (UE) 2016/943 del Parlamento europeo e del Consiglio (23) prevede che l’acquisizione, l’utilizzo o la divulgazione di un segreto commerciale sono da considerarsi leciti, tra l’altro, quando sono richiesti o autorizzati dal diritto dell’Unione o dal diritto nazionale. Sebbene imponga ai titolari dei dati di comunicare determinati dati agli utenti, o a terzi scelti dall’utente, anche qualora tali dati rientrino nella categoria dei dati che possono essere protetti in quanto segreti commerciali, il presente regolamento dovrebbe essere interpretato in modo da preservare la protezione conferita ai segreti commerciali a norma della direttiva (UE) 2016/943. In tale contesto, i titolari dei dati dovrebbero poter richiedere all’utente o a terzi scelti dall’utente di preservare la riservatezza dei dati considerati segreti commerciali. A tal fine, i titolari dei dati dovrebbero individuare i segreti commerciali prima della divulgazione e dovrebbero avere la possibilità di concordare con gli utenti, o con terzi scelti dall’utente, le misure necessarie per preservarne la riservatezza, anche mediante l’uso di clausole contrattuali tipo, accordi di riservatezza, protocolli di accesso rigorosi e norme tecniche, nonché mediante l’applicazione di codici di condotta. Oltre all’utilizzo delle clausole contrattuali tipo che devono essere elaborate e raccomandate dalla Commissione, l’istituzione di codici di condotta e la definizione di norme tecniche relative alla protezione dei segreti commerciali nel trattamento dei dati potrebbero contribuire al conseguimento dell’obiettivo del presente regolamento e dovrebbero essere incoraggiate. Qualora non vi sia un accordo sulle misure necessarie oppure l’utente o terzi scelti dall’utente non attuino le misure concordate o pregiudichino la riservatezza dei segreti commerciali, il titolare dei dati dovrebbe poter bloccare o sospendere la condivisione dei dati identificati come segreti commerciali. In tali casi il titolare dei dati dovrebbe fornire, senza indebito ritardo, la decisione all’utente o al terzo per iscritto e notificare all’autorità competente dello Stato membro in cui è stabilito il titolare dei dati di aver bloccato o sospeso la condivisione dei dati e indicare quali misure non sono state concordate o attuate e, se del caso, di quali segreti commerciali è stata pregiudicata la riservatezza. I titolari dei dati non possono, in linea di principio, rifiutare una richiesta di accesso ai dati ai sensi del presente regolamento unicamente sulla base del fatto che determinati dati sono considerati segreti commerciali, poiché ciò sovvertirebbe gli effetti attesi del presente regolamento. Tuttavia, in circostanze eccezionali, un titolare dei dati che detenga un segreto commerciale dovrebbe poter rifiutare, caso per caso, una richiesta per i dati specifici in questione se può dimostrare all’utente o al terzo che, malgrado le misure tecniche e organizzative adottate dall’utente o dal terzo, è altamente probabile che la divulgazione di tale segreto commerciale produca un grave danno economico. Un grave danno economico implica perdite economiche gravi e irreparabili. Il titolare dei dati dovrebbe debitamente motivare il proprio rifiuto, per iscritto e senza indebito ritardo, all’utente o al terzo e notificarne l’autorità competente. Tale motivazione dovrebbe basarsi su elementi oggettivi che dimostrino il rischio concreto di grave danno economico previsto a seguito della divulgazione di dati specifici, nonché i motivi per cui le misure adottate per salvaguardare i dati richiesti non sono ritenute sufficienti. In tale contesto si può tenere conto di un possibile impatto negativo sulla cibersicurezza. Fatto salvo il diritto di presentare ricorso dinanzi a un organo giurisdizionale di uno Stato membro, qualora intendano contestare la decisione del titolare dei dati di rifiutare, bloccare o sospendere la condivisione dei dati, l’utente o un terzo possono presentare un reclamo all’autorità competente, la quale dovrebbe decidere, senza indebito ritardo, se e a quali condizioni la condivisione dei dati debba iniziare o riprendere, o può convenire con il titolare dei dati di deferire la questione a un organismo di risoluzione delle controversie. Le eccezioni ai diritti di accesso ai dati di cui al presente regolamento non dovrebbero in alcun caso limitare il diritto di accesso e il diritto alla portabilità dei dati degli interessati a norma del regolamento (UE) 2016/679.
(32) L’obiettivo del presente regolamento non è solo promuovere lo sviluppo di prodotti connessi o di servizi correlati nuovi e innovativi e stimolare l’innovazione nei servizi post-vendita, ma anche stimolare lo sviluppo di servizi completamente nuovi che utilizzano i dati in questione, anche sulla base di dati provenienti da una varietà di prodotti connessi o servizi correlati. Allo stesso tempo, il presente regolamento mira a evitare di compromettere gli incentivi agli investimenti per il tipo di prodotto connesso da cui i dati sono ottenuti, ad esempio mediante l’uso di dati per sviluppare un prodotto connesso concorrente considerato intercambiabile o sostituibile dagli utenti, in particolare in base alle caratteristiche del prodotto connesso, al suo prezzo e all’uso previsto. Il presente regolamento non prevede alcun divieto di sviluppare un servizio correlato utilizzando i dati ottenuti a norma del regolamento stesso, in quanto ciò avrebbe un effetto deterrente indesiderato sull’innovazione. Vietare l’uso dei dati consultati a norma del presente regolamento per sviluppare un prodotto connesso concorrente protegge gli sforzi di innovazione dei titolari dei dati. Se un prodotto connesso sia in concorrenza con il prodotto connesso da cui provengono i dati dipende dal fatto che i due prodotti connessi siano o meno in concorrenza sullo stesso mercato del prodotto. Ciò deve essere determinato sulla base dei principi consolidati del diritto dell’Unione in materia di concorrenza per la definizione del mercato rilevante del prodotto. Tuttavia, le finalità legittime per l’uso dei dati potrebbero comprendere l’ingegneria inversa, a condizione che sia conforme ai requisiti stabiliti dal presente regolamento e dal diritto dell’Unione o nazionale. Ciò può verificarsi ai fini della riparazione o del prolungamento della durata di vita di un prodotto connesso o della fornitura di servizi post-vendita per prodotti connessi.
(33) Un terzo cui sono messi a disposizione i dati può essere una persona fisica o giuridica, ad esempio un consumatore, un’impresa, un organismo di ricerca, un’organizzazione senza fini di lucro o un’entità che agisce a titolo professionale. Nel mettere i dati a disposizione del terzo, un titolare dei dati non dovrebbe abusare della sua posizione per cercare di ottenere un vantaggio competitivo in mercati in cui il titolare dei dati e il terzo possono trovarsi in concorrenza diretta. Pertanto il titolare dei dati non dovrebbe utilizzare dati prontamente disponibili al fine di ottenere informazioni sulla situazione economica, sulle risorse o sui metodi di produzione del terzo o sul loro utilizzo da parte di quest’ultimo in qualsiasi altro modo che possa compromettere la posizione commerciale del terzo sui mercati in cui quest’ultimo è attivo. L’utente dovrebbe poter condividere dati non personali con terzi per finalità commerciali. Previo accordo con l’utente e fatte salve le disposizioni del presente regolamento, i terzi dovrebbero poter trasferire ad altri terzi i diritti di accesso ai dati concessi dall’utente, anche in cambio di un compenso. Gli intermediari di dati tra impresa e impresa e i sistemi di gestione delle informazioni personali, denominati servizi di intermediazione dei dati nel regolamento (UE) 2022/868, possono aiutare gli utenti o i terzi a stabilire relazioni commerciali con un numero indeterminato di potenziali controparti per qualsiasi finalità legittima rientrante nell’ambito di applicazione del presente regolamento. Essi potrebbero svolgere un ruolo determinante nell’aggregare l’accesso ai dati in modo da facilitare le analisi dei megadati o l’apprendimento automatico, purché gli utenti mantengano il pieno controllo sulla facoltà di fornire o meno i propri dati a tale aggregazione e sulle condizioni commerciali alle quali i loro dati devono essere utilizzati.
(34) In particolare, quando l’utente è una persona fisica, l’uso di un prodotto connesso o di un servizio correlato può generare dati che si riferiscono all’interessato. Il trattamento di tali dati è soggetto alle norme stabilite ai sensi del regolamento (UE) 2016/679, anche qualora i dati personali e non personali all’interno di un insieme di dati siano indissolubilmente legati. L’interessato può essere l’utente o un’altra persona fisica. I dati personali possono essere richiesti solo da un titolare del trattamento o da un interessato. A norma del regolamento (UE) 2016/679, un utente che è l’interessato ha, in determinate circostanze, il diritto di accedere ai dati personali che lo riguardano e tale diritto non è pregiudicato dal presente regolamento. A norma del presente regolamento l’utente che è una persona fisica ha inoltre il diritto di accedere a tutti i dati generati dall’utilizzo del prodotto connesso, personali e non personali. Se l’utente non è l’interessato ma un’impresa, ivi incluso un imprenditore individuale, ma non nei casi di uso domestico condiviso del prodotto connesso, l’utente è considerato un titolare del trattamento. Di conseguenza tale utente che, in qualità di titolare del trattamento, intenda richiedere dati personali generati dall’uso di un prodotto connesso o di un servizio correlato, deve disporre di una base giuridica per il trattamento dei dati come previsto dall’articolo 6, paragrafo 1, del regolamento (UE) 2016/679, come il consenso dell’interessato o l’esecuzione di un contratto di cui l’interessato è parte. Tale utente dovrebbe garantire che l’interessato sia adeguatamente informato delle finalità determinate, esplicite e legittime del trattamento di tali dati e del modo in cui l’interessato può esercitare effettivamente i propri diritti. Il titolare dei dati e l’utente, se sono contitolari del trattamento ai sensi dell’articolo 26 del regolamento (UE) 2016/679, sono tenuti a determinare in modo trasparente, mediante un accordo tra loro, le rispettive responsabilità in merito alla conformità a tale regolamento. Dovrebbe restare inteso che tale utente, una volta messi a disposizione i dati, può a sua volta diventare titolare dei dati se soddisfa i criteri di cui al presente regolamento e divenire così soggetto all’obbligo di mettere a disposizione i dati a norma del presente regolamento.
(35) I dati del prodotto o di un servizio correlato dovrebbero essere messi a disposizione di terzi solo su richiesta dell’utente. Il presente regolamento integra di conseguenza il diritto di cui all’articolo 20 del regolamento (UE) 2016/679 degli interessati di ricevere i dati personali che li riguardano in un formato strutturato, di uso comune e leggibile da dispositivo automatico, nonché di trasmettere tali dati ad un altro titolare del trattamento, qualora il trattamento di tali dati sia effettuato con mezzi automatizzati sulla base dell’articolo 6, paragrafo 1, lettera a), o dell’articolo 9, paragrafo 2, lettera a), o di un contratto ai sensi dell’articolo 6, paragrafo 1, lettera b), di detto regolamento. Gli interessati hanno inoltre il diritto di ottenere che i dati personali siano trasmessi direttamente da un titolare del trattamento a un altro, ma solo ove tecnicamente fattibile. L’articolo 20 del regolamento (UE) 2016/679 specifica che esso riguarda i dati forniti dall’interessato, ma non chiarisce se ciò richieda un comportamento attivo da parte dell’interessato o se si applichi anche a situazioni in cui un prodotto connesso o un servizio correlato osservi, in conseguenza delle sue caratteristiche di progettazione, il comportamento di un interessato o altre informazioni relative all’interessato in modo passivo. I diritti di cui al presente regolamento integrano in vari modi il diritto di ricevere i dati personali e il diritto alla portabilità degli stessi a norma dell’articolo 20 del regolamento (UE) 2016/679. Tale regolamento conferisce agli utenti il diritto di accedere a tutti i dati del prodotto o di un servizio correlato, e di metterli a disposizione di terzi, indipendentemente dalla loro natura di dati personali, dalla distinzione tra dati forniti attivamente o osservati passivamente e dalla base giuridica del trattamento. A differenza dell’articolo 20 del regolamento (UE) 2016/679, il presente regolamento impone e garantisce la fattibilità tecnica dell’accesso di terzi a tutti i tipi di dati che rientrano nel suo ambito di applicazione, siano essi personali o non personali, assicurando in tal modo che l’accesso a tali dati non sia più ostacolato o impedito da ostacoli tecnici. Consente inoltre ai titolari dei dati di fissare compensi ragionevoli a carico di terzi, ma non dell’utente, per i costi sostenuti per fornire un accesso diretto ai dati generati dal prodotto connesso dell’utente. Se un titolare dei dati e un terzo non sono in grado di concordare le condizioni di tale accesso diretto, all’interessato non dovrebbe essere in alcun modo impedito di esercitare i diritti di cui al regolamento (UE) 2016/679, compreso il diritto alla portabilità dei dati, esperendo i mezzi di ricorso in conformità a tale regolamento. In tale contesto resta inteso che, conformemente al regolamento (UE) 2016/679, un contratto non consente il trattamento di categorie particolari di dati personali da parte del titolare dei dati o del terzo.
(36) L’accesso ai dati archiviati nelle apparecchiature terminali e consultati da tali apparecchiature è soggetto alla direttiva 2002/58/CE e richiede il consenso dell’abbonato o dell’utente ai sensi di tale direttiva, a meno che non sia strettamente necessario per la fornitura di un servizio della società dell’informazione esplicitamente richiesto dall’utente o dall’abbonato o al solo scopo della trasmissione di una comunicazione. La direttiva 2002/58/CE tutela l’integrità delle apparecchiature terminali dell’utente in relazione all’uso delle capacità di trattamento e archiviazione e alla raccolta di informazioni. Le apparecchiature per l’internet delle cose sono considerate apparecchiature terminali se sono direttamente o indirettamente collegate a una rete pubblica di comunicazione.
(37) Al fine di impedire lo sfruttamento degli utenti, i terzi a disposizione dei quali sono stati messi i dati su richiesta dell’utente dovrebbero trattare tali dati solo per le finalità concordate con l’utente e condividerli con un altro terzo solo con l’accordo dell’utente.
(38) In linea con il principio della minimizzazione dei dati, i terzi dovrebbero accedere solo alle informazioni necessarie per la fornitura del servizio richiesto dall’utente. Una volta ricevuto l’accesso ai dati, il terzo dovrebbe trattarli per le finalità concordate con l’utente, senza interferenze da parte del titolare dei dati. Per l’utente, rifiutare o interrompere l’accesso ai dati da parte di terzi dovrebbe essere altrettanto facile quanto autorizzare l’accesso. I terzi e i titolari dei dati non dovrebbero rendere indebitamente difficile l’esercizio delle scelte o dei diritti dell’utente, ivi incluso offrendogli scelte in modo non neutrale, ricorrendo a mezzi coercitivi, ingannevoli o manipolatori nei confronti dell’utente, o compromettendone o pregiudicandone l’autonomia, il processo decisionale o le scelte, anche mediante un’interfaccia digitale con l’utente o una sua parte. In tale contesto, i terzi o i titolari dei dati non dovrebbero fare affidamento sui cosiddetti «dark patterns» nella progettazione delle loro interfacce digitali. I dark patterns sono tecniche di progettazione che ingannano i consumatori spingendoli verso decisioni che hanno conseguenze negative per loro. Tali tecniche di manipolazione possono essere utilizzate per persuadere gli utenti, in particolare i consumatori vulnerabili, ad adottare un comportamento indesiderato, per indurli con l’inganno a prendere decisioni in favore di operazioni di divulgazione dei dati, o per distorcere indebitamente il processo decisionale degli utenti del servizio, in modo da sovvertirne e pregiudicarne l’autonomia, il processo decisionale e la scelta. Le pratiche commerciali comuni e legittime che sono conformi al diritto dell’Unione non dovrebbero di per sé essere considerate dark patterns. I terzi e i titolari dei dati dovrebbero rispettare i loro obblighi ai sensi del pertinente diritto dell’Unione, in particolare gli obblighi di cui alle direttive 98/6/CE (24) e 2000/31/CE (25) del Parlamento europeo e del Consiglio e alle direttive 2005/29/CE e 2011/83/UE.
(39) I terzi dovrebbero inoltre astenersi dall’utilizzare i dati che rientrano nell’ambito di applicazione del presente regolamento per la profilazione delle persone, a meno che tali attività di trattamento non siano strettamente necessarie per fornire il servizio richiesto dall’utente, anche nel contesto di un processo decisionale automatizzato. L’obbligo di cancellare i dati quando non sono più necessari per la finalità concordata con l’utente, salvo diversamente convenuto in relazione ai dati non personali, integra il diritto dell’interessato alla cancellazione a norma dell’articolo 17 del regolamento (UE) 2016/679. Se un terzo è un fornitore di un servizio di intermediazione dei dati, si applicano le garanzie per l’interessato previste dal regolamento (UE) 2022/868. Il terzo può utilizzare i dati per sviluppare un prodotto connesso o un servizio correlato nuovo e innovativo, ma non per sviluppare un prodotto connesso concorrente.
(40) Le start-up, le piccole imprese e le imprese che sono considerate medie imprese ai sensi dell’articolo 2 dell’allegato della raccomandazione 2003/361/EC e le imprese dei settori tradizionali con capacità digitali meno sviluppate faticano a ottenere l’accesso ai dati pertinenti. Il presente regolamento mira ad agevolare l’accesso ai dati per tali soggetti, garantendo nel contempo che gli obblighi corrispondenti siano quanto più proporzionati possibile, al fine di evitare eccessi. Allo stesso tempo è emerso un piccolo numero di imprese molto grandi con un notevole potere economico nell’economia digitale, ottenuto grazie all’accumulo e all’aggregazione di grandi volumi di dati e all’infrastruttura tecnologica per la loro monetizzazione. Tali imprese molto grandi includono imprese che forniscono servizi di piattaforma di base che controllano interi ecosistemi di piattaforme nell’economia digitale e che gli operatori di mercato esistenti o nuovi non sono in grado di sfidare o contrastare. Il regolamento (UE) 2022/1925 del Parlamento europeo e del Consiglio (26) mira a correggere tali inefficienze e squilibri consentendo alla Commissione di designare un’impresa come «gatekeeper» e impone una serie di obblighi a tali gatekeeper, tra cui il divieto di combinare determinati dati senza consenso e l’obbligo di garantire diritti effettivi alla portabilità dei dati a norma dell’articolo 20 del regolamento (UE) 2016/679. Conformemente al regolamento (UE) 2022/1925 e data la capacità inarrivabile di tali imprese di acquisire dati, l’inclusione dei gatekeeper quali beneficiari del diritto di accesso ai dati non è necessaria per conseguire l’obiettivo del presente regolamento, e sarebbe pertanto sproporzionata per i titolari dei dati soggetti a tali obblighi. Tale inclusione limiterebbe inoltre probabilmente i vantaggi derivanti dal presente regolamento per le PMI connessi all’equa distribuzione del valore dei dati tra gli operatori del mercato. Ciò significa che un’impresa che fornisce servizi di piattaforma di base e che è stata designata come gatekeeper non può chiedere o ottenere l’accesso ai dati degli utenti generati dall’uso di un prodotto connesso o di un servizio correlato o da un assistente virtuale ai sensi del presente regolamento. Inoltre i terzi cui i dati sono messi a disposizione su richiesta dell’utente non possono mettere i dati a disposizione di un gatekeeper. Ad esempio, il terzo non può subappaltare la fornitura di servizi a un gatekeeper. Ciò non impedisce tuttavia a terzi di utilizzare i servizi di trattamento dei dati offerti da un gatekeeper e nemmeno impedisce a tali imprese di ottenere e usare gli stessi dati mediante altri mezzi legittimi. I diritti di accesso di cui al presente regolamento contribuiscono a una più ampia scelta di servizi per i consumatori. Poiché gli accordi volontari tra gatekeeper e titolari dei dati rimangono impregiudicati, limitare la concessione dell’accesso ai gatekeeper non li escluderebbe dal mercato né impedirebbe loro di offrire i propri servizi.
(41) Dato lo stato attuale della tecnologia, sarebbe eccessivamente oneroso imporre alle microimprese e alle piccole imprese ulteriori obblighi di progettazione in relazione ai prodotti connessi da esse fabbricati o progettati o ai servizi correlati forniti dalle medesime. Ciò non si verifica, tuttavia, nel caso in cui una microimpresa o una piccola impresa abbiano un’impresa associata o un’impresa collegata, a norma dell’articolo 3 dell’allegato della raccomandazione 2003/361/CE, che non è qualificata come microimpresa o piccola impresa, e qualora siano loro affidate in subappalto la fabbricazione o la progettazione di un prodotto connesso o la fornitura di un servizio correlato. In tali situazioni, l’impresa che ha subappaltato la fabbricazione o la progettazione a una microimpresa o a una piccola impresa è in grado di compensare adeguatamente il subcontraente. Una microimpresa o una piccola impresa può comunque essere soggetta agli obblighi stabiliti dal presente regolamento in qualità di titolare dei dati, se non è essa stessa il fabbricante del prodotto connesso o un fornitore di servizi correlati. È opportuno applicare un periodo transitorio a un’impresa qualificata come media impresa da meno di un anno e ai prodotti connessi per un anno dopo la data in cui sono stati immessi sul mercato da una media impresa. Tale periodo di un anno consente a tale media impresa di adeguarsi e prepararsi prima di affrontare la concorrenza nel mercato dei servizi per i prodotti connessi che fabbrica, sulla base dei diritti di accesso disciplinati dal presente regolamento. Tale periodo transitorio non si applica qualora tale media impresa abbia un’impresa associata o un’impresa collegata non qualificata come microimpresa o piccola impresa e qualora a tale media impresa sia affidata in subappalto la fabbricazione o la progettazione del prodotto connesso o la fornitura del servizio correlato.
(42) Tenendo conto della varietà di prodotti connessi che generano dati di natura, volume e frequenza diversi, presentano diversi livelli di dati e rischi per la cibersicurezza e offrono opportunità economiche di diverso valore, nonché al fine di garantire la coerenza delle pratiche di condivisione dei dati nel mercato interno, anche a livello intersettoriale, e incoraggiare e promuovere pratiche eque di condivisione dei dati anche negli ambiti in cui tale diritto di accesso ai dati non è previsto, il presente regolamento prevede norme orizzontali sugli accordi di accesso ai dati ogniqualvolta il titolare dei dati sia tenuto a mettere i dati a disposizione di un destinatario dei dati in virtù del diritto dell’Unione o della legislazione nazionale adottata conformemente al diritto dell’Unione. Tale accesso dovrebbe essere basato su condizioni eque, ragionevoli, non discriminatorie e trasparenti. Tali norme generali di accesso non si applicano agli obblighi di messa a disposizione dei dati a norma del regolamento (UE) 2016/679. La condivisione volontaria dei dati è lasciata impregiudicata da tali norme. Le clausole contrattuali tipo non vincolanti per la condivisione dei dati tra imprese che devono essere elaborate e raccomandate dalla Commissione possono aiutare le parti a concludere contratti che includano condizioni eque, ragionevoli e non discriminatorie e che siano eseguiti in modo trasparente. La conclusione di contratti che possono includere clausole tipo non vincolanti non dovrebbe implicare che il diritto di condividere i dati con terzi sia in qualche modo subordinato all’esistenza di un siffatto contratto. Qualora le parti non siano in grado di concludere un contratto sulla condivisione dei dati, nemmeno con il sostegno di organismi di risoluzione delle controversie, il diritto di condividere i dati con terzi può essere fatto valere dinanzi agli organi giurisdizionali nazionali.
(43) Sulla base del principio della libertà contrattuale, le parti dovrebbero rimanere libere di negoziare le condizioni precise per la messa a disposizione dei dati nei loro contratti, nel quadro delle norme generali di accesso per la messa a disposizione dei dati. Le clausole di tali contratti potrebbero includere misure tecniche ed organizzative, anche in relazione alla sicurezza dei dati.
(44) Al fine di garantire che le condizioni per l’accesso obbligatorio ai dati siano eque per entrambe le parti di un contratto, le norme generali sui diritti di accesso ai dati dovrebbero fare riferimento alla norma volta a evitare le clausole contrattuali abusive.
(45) Qualsiasi accordo per la messa a disposizione dei dati concluso nell’ambito delle relazioni tra imprese non dovrebbe creare discriminazioni tra categorie comparabili di destinatari dei dati, indipendentemente dal fatto che le parti siano grandi imprese o PMI. Al fine di compensare la mancanza di informazioni sulle condizioni contenute in contratti diversi, che rende difficile per il destinatario dei dati valutare se le clausole relative alla messa a disposizione dei dati siano non discriminatorie, la responsabilità di dimostrare che una clausola contrattuale non è discriminatoria dovrebbe spettare ai titolari dei dati. Non si configura una discriminazione illecita quando il titolare dei dati utilizza clausole contrattuali diverse per la messa a disposizione dei dati, se tali differenze sono giustificate da ragioni oggettive. Tali obblighi fanno salvo il regolamento (UE) 2016/679.
(46) Al fine di promuovere il mantenimento degli investimenti nella generazione di dati preziosi e nella loro messa a disposizione, compresi gli investimenti in strumenti tecnici pertinenti, evitando nel contempo oneri eccessivi per l’accesso e l’uso di dati tali da rendere la condivisione di dati non più commercialmente sostenibile, il presente regolamento include il principio secondo cui i titolari dei dati nel quadro di relazioni tra imprese possono chiedere un compenso ragionevole se sono obbligati ai sensi del diritto dell’Unione o della legislazione nazionale adottata conformemente al diritto dell’Unione a mettere i dati a disposizione di un destinatario dei dati. Tale compenso non dovrebbe intendersi come un pagamento per i dati stessi. La Commissione dovrebbe adottare orientamenti sul calcolo del compenso ragionevole nell’economia dei dati.
(47) In primo luogo, un compenso ragionevole per aver osservato l’obbligo ai sensi del diritto dell’Unione o della legislazione nazionale adottata conformemente al diritto dell’Unione di soddisfare una richiesta di messa a disposizione dei dati può includere un compenso per i costi sostenuti per la messa a disposizione dei dati. Tali costi possono essere costi tecnici, quali ad esempio i costi necessari per la riproduzione, la diffusione per via elettronica e l’archiviazione dei dati, ma non per la raccolta o la produzione dei dati. Tali costi tecnici possono comprendere anche i costi di trattamento necessari per mettere a disposizione i dati, compresi i costi associati alla formattazione dei dati. I costi relativi alla messa a disposizione dei dati possono comprendere anche i costi per agevolare le richieste concrete di condivisione dei dati. Possono inoltre variare in funzione del volume dei dati e delle modalità adottate per metterli a disposizione. Accordi a lungo termine tra i titolari dei dati e i destinatari dei dati, ad esempio mediante un modello di abbonamento o l’uso di contratti intelligenti, possono ridurre i costi in operazioni regolari o ripetitive nell’ambito di una relazione commerciale. I costi relativi alla messa a disposizione dei dati sono specifici per una particolare richiesta oppure condivisi con altre richieste. In quest’ultimo caso, i costi della messa a disposizione dei dati non dovrebbero essere posti interamente a carico di un unico destinatario dei dati. In secondo luogo, un compenso ragionevole può inoltre includere un margine, tranne nei confronti di PMI e di organismi di ricerca senza fini di lucro. Il margine può variare in base a fattori relativi ai dati stessi, quali il volume, il formato o la natura dei dati. Il margine può tenere conto dei costi per la raccolta dei dati e può pertanto diminuire se il titolare dei dati ha raccolto i dati per la propria attività senza investimenti significativi o può aumentare se gli investimenti nella raccolta dei dati ai fini dell’attività del titolare dei dati sono elevati. Può essere limitato o addirittura escluso in situazioni in cui l’uso dei dati da parte del destinatario dei dati non incide sulle attività proprie del titolare dei dati. Anche il fatto che i dati siano cogenerati da un prodotto connesso posseduto dal cliente, o da questi preso in locazione o noleggiato, potrebbe ridurre l’importo del compenso rispetto ad altre situazioni in cui i dati sono generati dal titolare dei dati durante, ad esempio, la fornitura di un servizio correlato.
(48) Non è necessario intervenire in caso di condivisione dei dati tra grandi imprese o qualora il titolare dei dati sia una piccola o media impresa e il destinatario dei dati sia una grande impresa. In tali casi, si considera che le imprese siano in grado di negoziare il compenso entro i limiti di quanto ragionevole e non discriminatorio.
(49) Al fine di proteggere le PMI da oneri economici eccessivi che renderebbero troppo difficile dal punto di vista commerciale lo sviluppo e la gestione di modelli imprenditoriali innovativi, il compenso ragionevole che tali imprese devono pagare per la messa a disposizione dei dati non dovrebbe essere superiore ai costi direttamente connessi alla messa a disposizione dei dati . Lo stesso regime dovrebbe applicarsi agli organismi di ricerca senza fini di lucro.
(50) In casi debitamente giustificati, tra cui di fronte alla necessità di salvaguardare la partecipazione dei consumatori e la concorrenza o di promuovere l’innovazione in determinati mercati, i compensi regolamentati per la messa a disposizione di tipi di dati specifici possono essere disposti dal diritto dell’Unione o dalla legislazione nazionale adottata conformemente al diritto dell’Unione.
(51) La trasparenza è un principio importante per garantire che il compenso richiesto da un titolare dei dati sia ragionevole o, se il destinatario dei dati è una PMI o un organismo di ricerca senza fini di lucro, che il compenso non sia superiore ai costi direttamente connessi alla messa a disposizione dei dati al destinatario e sia imputabile alla singola richiesta in questione. Al fine di consentire ai destinatari dei dati di valutare e verificare la conformità del compenso alle disposizioni del presente regolamento è opportuno che il titolare dei dati fornisca al destinatario dei dati informazioni sufficientemente dettagliate per il calcolo del compenso.
(52) La garanzia dell’accesso a modalità alternative di risoluzione delle controversie nazionali e transfrontaliere che insorgono in relazione alla messa a disposizione dei dati dovrebbe apportare benefici a titolari e destinatari dei dati, rafforzando in tal modo la fiducia nella condivisione dei dati. Qualora le parti non concordino condizioni eque, ragionevoli e non discriminatori per la messa a disposizione dei dati, è opportuno che gli organismi di risoluzione delle controversie propongano alle parti una soluzione semplice, rapida e a basso costo. Dal momento che il presente regolamento stabilisce solo le condizioni che gli organismi di risoluzione delle controversie devono soddisfare per essere certificati, gli Stati membri sono liberi di adottare norme specifiche sulla procedura di certificazione, ivi compresa la scadenza o la revoca della certificazione. Le disposizioni del presente regolamento relative alla risoluzione delle controversie non dovrebbero imporre agli Stati membri di istituire organismi di risoluzione delle controversie.
(53) La procedura di risoluzione delle controversie di cui al presente regolamento è una procedura volontaria che consente agli utenti, ai titolari dei dati e ai destinatari dei dati di convenire di sottoporre le controversie che li riguardano a organismi di risoluzione delle controversie. Pertanto, le parti dovrebbero essere libere di rivolgersi a un organismo di risoluzione delle controversie di loro scelta, all’interno o all’esterno degli Stati membri in cui sono stabilite.
(54) Per evitare i casi in cui due o più organismi di risoluzione delle controversie siano aditi per la stessa controversia, in particolare in una situazione transfrontaliera, è opportuno che un organismo di risoluzione delle controversie possa respingere una richiesta di risoluzione di una controversia già presentata dinanzi a un altro organismo di risoluzione delle controversie o dinanzi a un organo giurisdizionale di uno Stato membro.
(55) Al fine di assicurare l’applicazione uniforme del presente regolamento, gli organismi di risoluzione delle controversie dovrebbero tenere conto delle clausole contrattuali tipo non vincolanti che devono essere elaborate e raccomandate dalla Commissione, nonché del diritto dell’Unione o nazionale che specificano gli obblighi in materia di condivisione dei dati o degli orientamenti emanati dalle autorità settoriali ai fini dell’applicazione di tale diritto.
(56) È opportuno che alle parti dei procedimenti di risoluzione delle controversie non sia impedito di esercitare i propri diritti fondamentali a un ricorso effettivo e a un giudice imparziale. Pertanto, la decisione di sottoporre una controversia a un organismo di risoluzione delle controversie non dovrebbe privare tali parti del loro diritto di presentare ricorso dinanzi a un organo giurisdizionale di uno Stato membro. Gli organismi di risoluzione delle controversie dovrebbero rendere pubbliche le relazioni annuali di attività.
(57) I titolari dei dati possono applicare adeguate misure tecniche di protezione per impedire la divulgazione illecita dei dati o l’accesso illecito agli stessi. Tuttavia, tali misure non dovrebbero creare discriminazioni tra i destinatari dei dati né ostacolare l’accesso ai dati o il loro utilizzo per gli utenti o i destinatari dei dati. In caso di pratiche abusive da parte di un destinatario dei dati, quali indurre in errore il titolare dei dati fornendo informazioni false con l’intenzione di utilizzare i dati per finalità illecite, compreso lo sviluppo di un prodotto connesso concorrente sulla base dei dati, il titolare dei dati e, se del caso e qualora non si tratti della stessa persona, il detentore del segreto commerciale o l’utente può chiedere a terzi o al destinatario dei dati di attuare misure correttive o di riparazione senza indebito ritardo. Tutte le richieste di questo tipo, e in particolare le richieste di porre fine alla produzione, all’offerta o all’immissione sul mercato di beni, dati derivati o servizi, come pure quelle volte a porre fine all’importazione, all’esportazione, allo stoccaggio di merci costituenti violazione o alla loro distruzione, dovrebbero essere valutate alla luce della loro proporzionalità rispetto agli interessi del titolare dei dati, del detentore del segreto commerciale o dell’utente.
(58) Se una parte si trova in una posizione negoziale più forte, vi è il rischio che tale parte possa sfruttare la propria posizione a scapito dell’altra parte contraente nel negoziare l’accesso ai dati, rendendolo commercialmente meno redditizio e talvolta economicamente proibitivo. Tali squilibri contrattuali danneggiano tutte le imprese che non hanno una capacità significativa di negoziare le condizioni di accesso ai dati e che possono non avere altra scelta se non quella di accettare clausole contrattuali «prendere o lasciare». È pertanto opportuno che le clausole contrattuali abusive che disciplinano l’accesso ai dati e il loro utilizzo o la responsabilità e i mezzi di ricorso per la violazione o la cessazione degli obblighi relativi ai dati non siano vincolanti per le imprese qualora tali condizioni siano state imposte a tali imprese unilateralmente.
(59) Le norme sulle clausole contrattuali dovrebbero tenere conto del principio della libertà contrattuale quale concetto essenziale nelle relazioni tra imprese. È pertanto opportuno che non tutte le clausole contrattuali siano soggette a un test di abusività, ma solo quelle imposte unilateralmente. Ciò riguarda le situazioni «prendere o lasciare» nelle quali una parte inserisce una determinata clausola contrattuale e l’altra impresa non può influenzarne il contenuto malgrado un tentativo di negoziarla. Una clausola contrattuale semplicemente proposta da una parte e accettata dall’altra impresa o una clausola negoziata e successivamente concordata in una versione modificata tra le parti contraenti non dovrebbe essere considerata una clausola imposta unilateralmente.
(60) È inoltre opportuno che le norme sulle clausole contrattuali abusive si applichino solo agli elementi di un contratto relativi alla messa a disposizione dei dati, vale a dire le clausole contrattuali riguardanti l’accesso ai dati e il loro utilizzo, nonché la responsabilità o i mezzi di ricorso in caso di violazione e cessazione degli obblighi relativi ai dati. Altre parti dello stesso contratto, non correlate alla messa a disposizione dei dati, non dovrebbero essere soggette al test di abusività di cui al presente regolamento.
(61) È opportuno applicare i criteri per l’individuazione delle clausole contrattuali abusive solo alle clausole contrattuali eccessive, in caso di abuso di una posizione negoziale più forte. La stragrande maggioranza delle clausole contrattuali che dal punto di vista commerciale sono più favorevoli a una parte rispetto all’altra, comprese quelle che sono normali nei contratti tra imprese, sono una normale espressione del principio della libertà contrattuale e continuano ad applicarsi. Ai fini del presente regolamento, tra le pratiche che si discostano considerevolmente dalle buone prassi commerciali figurerebbe, tra l’altro, quella di pregiudicare oggettivamente la capacità della parte alla quale la clausola è stata unilateralmente imposta di tutelare il suo legittimo interesse commerciale nei dati in questione.
(62) Per garantire la certezza del diritto, il presente regolamento stabilisce un elenco di clausole che sono sempre considerate abusive e un elenco di clausole che si presumono abusive. In quest’ultimo caso, l’impresa che impone la clausola contrattuale dovrebbe poter confutare la presunzione di abusività dimostrando che la clausola contrattuale inclusa nell’elenco del presente regolamento non è, nel caso di specie, abusiva. Se una clausola contrattuale non è inclusa nell’elenco delle clausole che sono sempre considerate abusive o che si presumono abusive si applica la disposizione generale sul carattere abusivo. A tale riguardo le clausole che figurano nell’elenco delle clausole contrattuali abusive del presente regolamento dovrebbero servire da parametro per l’interpretazione della disposizione generale sul carattere abusivo. Infine, le clausole contrattuali tipo non vincolanti per i contratti di condivisione dei dati tra imprese che devono essere elaborate e raccomandate dalla Commissione possono essere utili anche alle parti commerciali in sede di negoziazione dei contratti. Se una clausola contrattuale è dichiarata abusiva, il contratto in questione dovrebbe continuare ad applicarsi senza tale clausola, a meno che la clausola contrattuale abusiva sia inscindibile dalle altre clausole del contratto.
(63) In situazioni di necessità eccezionale può presentarsi l’esigenza, per gli enti pubblici, la Commissione, la Banca centrale europea o gli organismi dell’Unione, nell’esecuzione delle loro funzioni statutarie nell’interesse pubblico, di utilizzare dati esistenti, compresi, se del caso, i pertinenti metadati, per rispondere a emergenze pubbliche o in altri casi eccezionali. Per necessità eccezionali si intendono circostanze imprevedibili e limitate nel tempo, a differenza di altre circostanze che potrebbero essere pianificate, programmate, periodiche o frequenti. Anche se la nozione di «titolare dei dati» non comprende generalmente gli enti pubblici, può includere le imprese pubbliche. Le organizzazioni che svolgono attività di ricerca e le organizzazioni che finanziano la ricerca potrebbero anche essere costituite nella forma di enti pubblici od organismi di diritto pubblico. Per limitare l’onere a carico delle imprese, è opportuno che le microimprese e le piccole imprese siano soggette unicamente all’obbligo di fornire dati a enti pubblici, alla Commissione, alla Banca centrale europea o a organismi dell’Unione in situazioni di necessità eccezionale qualora tali dati siano necessari per rispondere a un’emergenza pubblica e l’ente pubblico, la Commissione, la Banca centrale europea o l’organismo dell’Unione non è in grado di ottenere tali dati con mezzi alternativi in modo tempestivo ed efficace a condizioni equivalenti.
(64) In caso di emergenze pubbliche, come le emergenze sanitarie, le emergenze derivanti da calamità naturali, comprese quelle aggravate dai cambiamenti climatici e dal degrado ambientale, nonché le gravi catastrofi di origine antropica, come i gravi incidenti di cibersicurezza, l’interesse pubblico derivante dall’utilizzo dei dati prevale sugli interessi dei titolari dei dati a disporre liberamente dei dati in loro possesso. In tal caso è opportuno che ai titolari dei dati sia imposto l’obbligo di mettere i dati a disposizione di enti pubblici, della Commissione, della Banca centrale europea o di organismi dell’Unione su loro richiesta. L’esistenza di un’emergenza pubblica dovrebbe essere determinata o dichiarata conformemente al diritto dell’Unione o nazionale e basata sulle procedure pertinenti comprese quelle delle organizzazioni internazionali competenti. In tali casi, l’ente pubblico dovrebbe dimostrare che i dati oggetto della richiesta non potrebbero altrimenti essere ottenuti in modo tempestivo ed efficace e a condizioni equivalenti, ad esempio mediante la fornitura volontaria di dati da parte di un’altra impresa o la consultazione di una banca dati pubblica.
(65) Una necessità eccezionale può anche derivare da situazioni non di emergenza. In tali casi, un ente pubblico, la Commissione, la Banca centrale europea o un organismo dell’Unione dovrebbero essere autorizzati a richiedere solo dati non personali. L’ente pubblico dovrebbe dimostrare che i dati sono necessari per l’esecuzione di un compito specifico svolto nell’interesse pubblico esplicitamente previsto dalla legge, quali la redazione di statistiche ufficiali o la mitigazione o la ripresa dopo un’emergenza pubblica. Inoltre, una tale richiesta può essere presentata solo se l’ente pubblico, la Commissione, la Banca centrale europea o l’organismo dell’Unione ha individuato dati specifici che non potrebbero altrimenti essere ottenuti in modo tempestivo ed efficace e a condizioni equivalenti e solo se ha esaurito tutti gli altri mezzi a sua disposizione per ottenere tali dati, ad esempio mediante accordi volontari, compresi l’acquisto di dati non personali sul mercato a prezzi di mercato, o il ricorso a obblighi vigenti in materia di messa a disposizione dei dati, oppure l’adozione di nuove misure legislative che potrebbero garantire la tempestiva disponibilità dei dati. Dovrebbero applicarsi anche le condizioni e i principi che disciplinano le richieste, come quelli in materia di limitazione della finalità, proporzionalità, trasparenza e limitazione temporale. In caso di richieste di dati necessari per la produzione di statistiche ufficiali, l’ente pubblico richiedente dovrebbe anche dimostrare che il diritto nazionale non gli consente di acquistare dati non personali sul mercato.
(66) Il presente regolamento non dovrebbe applicarsi agli accordi volontari per lo scambio di dati tra soggetti pubblici e privati né pregiudicarli, ivi compresa la fornitura di dati da parte delle PMI, e lascia impregiudicati gli atti giuridici dell’Unione che disciplinano le richieste di informazioni obbligatorie da parte di soggetti pubblici nei confronti di soggetti privati. Esso non dovrebbe inoltre incidere sugli obblighi imposti ai titolari dei dati in relazione alla fornitura di dati a fronte di necessità di natura non eccezionale, in particolare quando la gamma di dati e di titolari dei dati è nota o se l’utilizzo dei dati può aver luogo regolarmente, come nel caso degli obblighi di comunicazione e degli obblighi relativi al mercato interno. Il presente regolamento non dovrebbe incidere neppure sugli obblighi di accesso ai dati per verificare la conformità alle norme applicabili, anche laddove gli enti pubblici assegnino il compito di verificare la conformità a soggetti che non sono enti pubblici.
(67) Il presente regolamento integra e lascia impregiudicato il diritto dell’Unione e nazionale che prevede l’accesso ai dati e il loro utilizzo a fini statistici, in particolare il regolamento (CE) n. 223/2009 del Parlamento europeo e del Consiglio (27), nonché gli atti giuridici nazionali relativi alle statistiche ufficiali.
(68) Per lo svolgimento dei loro compiti nei settori della prevenzione, dell’indagine, dell’accertamento o del perseguimento degli illeciti penali o amministrativi o dell’esecuzione di sanzioni penali e amministrative, nonché della raccolta di dati a fini fiscali o doganali, è opportuno che gli enti pubblici, la Commissione, la Banca centrale europea o gli organismi dell’Unione si avvalgano dei poteri loro conferiti dal diritto dell’Unione o nazionale. Il presente regolamento non pregiudica pertanto gli atti legislativi in materia di condivisione, accesso e utilizzo dei dati in tali settori.
(69) A norma dell’articolo 6, paragrafi 1 e 3, del regolamento (UE) 2016/679, un quadro proporzionato, limitato e prevedibile a livello dell’Unione è necessario al momento di stabilire la base giuridica affinché, a fronte di necessità eccezionali, i titolari dei dati mettano i dati a disposizione degli enti pubblici, della Commissione, della Banca centrale europea o degli organismi dell’Unione, sia per garantire la certezza del diritto sia per ridurre al minimo gli oneri amministrativi a carico delle imprese. A tal fine è opportuno che le richieste di dati da parte degli enti pubblici, della Commissione, della Banca centrale europea o degli organismi dell’Unione ai titolari dei dati siano specifiche, trasparenti e proporzionate in termini di contenuto e granularità. La finalità della richiesta e l’utilizzo previsto dei dati richiesti dovrebbero essere specifici e spiegati in modo chiaro e al tempo stesso garantire al soggetto richiedente un’adeguata flessibilità nello svolgimento dei suoi compiti specifici nell’interesse pubblico. La richiesta dovrebbe inoltre rispettare i legittimi interessi dei titolari dei dati a cui è rivolta. È opportuno che l’onere per i titolari dei dati sia ridotto al minimo obbligando i soggetti richiedenti a rispettare il principio «una tantum», il quale impedisce che gli stessi dati siano richiesti più di una volta da più di un ente pubblico o dalla Commissione, dalla Banca centrale europea o dagli organismi dell’Unione. Per garantire la trasparenza, le richieste di dati presentate dalla Commissione, dalla Banca centrale europea o da organismi dell’Unione dovrebbero essere rese pubbliche senza indebito ritardo da chi richiede i dati. È opportuno che la Banca centrale europea e gli organismi dell’Unione informino la Commissione delle loro richieste. Se la richiesta di dati è presentata da un ente pubblico, tale ente dovrebbe darne altresì notifica al coordinatore dei dati dello Stato membro in cui è stabilito l’ente pubblico. Dovrebbe essere garantita la disponibilità pubblica online di tutte le richieste. Al ricevimento di una notifica di richiesta di dati, l’autorità competente può decidere di valutare la legittimità della richiesta ed esercitare le proprie funzioni in relazione all’esecuzione e all’applicazione del presente regolamento. Il coordinatore dei dati dovrebbe garantire la disponibilità pubblica online di tutte le richieste presentate da enti pubblici.
(70) L’obiettivo dell’obbligo di trasmettere i dati è garantire che gli enti pubblici, la Commissione, la Banca centrale europea o gli organismi dell’Unione dispongano delle conoscenze necessarie per rispondere alle emergenze pubbliche, prevenirle o favorire la ripresa o per mantenere la capacità di svolgere compiti specifici esplicitamente previsti dalla legge. I dati ottenuti da tali entità possono essere sensibili sotto il profilo commerciale. Pertanto, né il regolamento (UE) 2022/868 né la direttiva (UE) 2019/1024 del Parlamento europeo e del Consiglio (28) dovrebbero applicarsi ai dati messi a disposizione a norma del presente regolamento e gli stessi dati non dovrebbero considerarsi dati aperti disponibili per il riutilizzo da parte di terzi. Ciò non dovrebbe tuttavia pregiudicare l’applicabilità della direttiva (UE) 2019/1024 al riutilizzo delle statistiche ufficiali per la cui produzione sono stati utilizzati i dati ottenuti a norma del presente regolamento, a condizione che il riutilizzo non riguardi i dati sottostanti. Inoltre, purché siano soddisfatte le condizioni stabilite nel presente regolamento, la possibilità di condividere i dati a fini di ricerca o a fini di elaborazione, produzione e divulgazione di statistiche ufficiali dovrebbe rimanere impregiudicata . È inoltre opportuno che gli enti pubblici siano autorizzati a scambiare i dati ottenuti a norma del presente regolamento con altri enti pubblici, la Commissione, la Banca centrale europea o gli organismi dell’Unione per far fronte alle necessità eccezionali per le quali i dati sono stati richiesti.
(71) È opportuno che i titolari dei dati abbiano la possibilità di respingere una richiesta presentata da un ente pubblico, dalla Commissione, dalla Banca centrale europea o da un organismo dell’Unione o di chiederne una modifica senza indebito ritardo e, in ogni caso, entro un periodo di cinque o 30 giorni lavorativi al più tardi, a seconda della natura della necessità eccezionale invocata nella richiesta. Laddove opportuno, il titolare dei dati dovrebbe avere tale possibilità se non ha il controllo sui dati richiesti, soprattutto se non dispone di un accesso immediato ai dati e non può determinarne la disponibilità. Dovrebbe sussistere un motivo valido per non mettere a disposizione i dati se si può dimostrare che la richiesta è simile a una richiesta presentata in precedenza allo stesso scopo da altri enti pubblici, o dalla Commissione, dalla Banca centrale europea o da un organismo dell’Unione e che al titolare dei dati non è stata notificata la cancellazione dei dati a norma del presente regolamento. È opportuno che il titolare dei dati che rifiuta la richiesta o ne chiede la modifica comunichi le motivazioni all’ente pubblico, alla Commissione, alla Banca centrale europea o a un organismo dell’Unione che richiede i dati. Nel caso in cui i diritti «sui generis» sulle banche di dati di cui alla direttiva 96/9/CE del Parlamento europeo e del Consiglio (29) si applichino in relazione agli insiemi di dati richiesti è opportuno che i titolari dei dati esercitino i loro diritti in modo da non impedire all’ente pubblico, alla Commissione, alla Banca centrale europea o un organismo dell’Unione di ottenere i dati, o di condividerli, in conformità del presente regolamento.
(72) In caso di necessità eccezionale connessa a una risposta a un’emergenza pubblica, gli enti pubblici dovrebbero utilizzare, ove possibile, dati non personali. In caso di richieste fondate su una necessità eccezionale non connessa a un’emergenza pubblica, non è possibile richiedere dati personali. Qualora i dati personali rientrino nell’ambito della richiesta, il titolare dei dati dovrebbe anonimizzarli. Qualora sia assolutamente necessario includere dati personali nei dati da mettere a disposizione di un ente pubblico, della Commissione, della Banca centrale europea o di un organismo dell’Unione, oppure qualora tale anonimizzazione si riveli impossibile, è opportuno che il soggetto che richiede i dati dimostri l’assoluta necessità e le finalità specifiche e limitate del trattamento. Le norme applicabili in materia di protezione dei dati personali dovrebbero essere rispettate. La messa a disposizione dei dati e il loro successivo utilizzo dovrebbero essere accompagnati da garanzie per i diritti e gli interessi delle persone interessate da tali dati.
(73) I dati messi a disposizione di enti pubblici, della Commissione, della Banca centrale europea o di organismi dell’Unione sulla base di una necessità eccezionale dovrebbero essere utilizzati solo per le finalità per le quali sono stati richiesti, a meno che il titolare dei dati che ha messo a disposizione i dati non abbia espressamente acconsentito a che i dati siano utilizzati per altre finalità. I dati dovrebbero essere cancellati quando non sono più necessari per le finalità indicate nella richiesta, salvo diverso accordo, e il titolare dei dati dovrebbe esserne informato. Il presente regolamento si basa sui regimi di accesso esistenti nell’Unione e negli Stati membri e non modifica il diritto nazionale in materia di accesso del pubblico ai documenti nel contesto degli obblighi di trasparenza. Quando non sono più necessari per adempiere agli obblighi di trasparenza, i dati dovrebbero essere cancellati.
(74) Nel riutilizzare i dati forniti dai titolari dei dati, è opportuno che gli enti pubblici, la Commissione, la Banca centrale europea o gli organismi dell’Unione rispettino sia il vigente diritto dell’Unione o nazionale applicabile sia gli obblighi contrattuali cui è soggetto il titolare dei dati. Essi dovrebbero astenersi dallo sviluppare o migliorare un prodotto connesso o un servizio correlato in concorrenza con il prodotto connesso o il servizio correlato del titolare dei dati, nonché dal condividere i dati con terzi per tali finalità. Dovrebbero inoltre fornire un riconoscimento pubblico al titolare dei dati se richiesto da quest’ultimo e dovrebbero essere responsabili del mantenimento della sicurezza dei dati che ricevono. Qualora la divulgazione dei segreti commerciali del titolare dei dati a enti pubblici, alla Commissione, alla Banca centrale europea o a organismi dell’Unione sia assolutamente necessaria per conseguire la finalità per la quale sono stati richiesti i dati, la riservatezza di tale divulgazione dovrebbe essere garantita prima della divulgazione dei dati.
(75) Quando è in gioco la salvaguardia di un bene pubblico significativo, come la risposta a emergenze pubbliche, l’ente pubblico, la Commissione, la Banca centrale europea o l’organismo dell’Unione interessato non dovrebbe essere tenuto a versare un compenso alle imprese per i dati ottenuti. Le emergenze pubbliche sono eventi rari e non tutte richiedono l’utilizzo di dati in possesso delle imprese. Allo stesso tempo, l’obbligo di fornire dati potrebbe costituire un onere considerevole per le microimprese e le piccole imprese, che dovrebbero pertanto poter chiedere un compenso anche nel contesto di una risposta a un’emergenza pubblica. È pertanto improbabile che le attività commerciali dei titolari dei dati siano influenzate negativamente dal ricorso al presente regolamento da parte degli enti pubblici, della Commissione, della Banca centrale europea o degli organismi dell’Unione. Tuttavia, poiché le situazioni di necessità eccezionale diverse dalla risposta a emergenze pubbliche potrebbero essere più frequenti, è opportuno che in tali circostanze i titolari dei dati abbiano diritto a un compenso ragionevole che non dovrebbe essere superiore ai costi tecnici e organizzativi sostenuti per soddisfare la richiesta e al ragionevole margine necessario per mettere i dati a disposizione dell’ente pubblico, della Commissione, della Banca centrale europea o dell’organismo dell’Unione. Il compenso non dovrebbe intendersi come un pagamento per i dati stessi o come obbligatorio. I titolari dei dati non dovrebbero poter chiedere un compenso qualora il diritto nazionale impedisca agli istituti nazionali di statistica o ad altre autorità nazionali responsabili della produzione di statistiche di compensare i titolari dei dati per la messa a disposizione dei dati. L’ente pubblico, la Commissione, la Banca centrale europea o l’organismo dell’Unione interessato dovrebbe poter contestare il livello di compenso richiesto dal titolare dei dati, sottoponendo la questione all’autorità competente dello Stato membro in cui il titolare dei dati è stabilito.
(76) L’ente pubblico, la Commissione, la Banca centrale europea o l’organismo dell’Unione dovrebbe avere la facoltà di condividere i dati ottenuti a seguito della richiesta con altre entità o persone qualora ciò sia necessario per svolgere attività di ricerca scientifica o attività analitiche che non può svolgere autonomamente, a condizione che tali attività siano compatibili con la finalità per la quale sono stati richiesti i dati, e dovrebbe informare tempestivamente il titolare dei dati di tale condivisione. Nelle stesse circostanze tali dati possono essere condivisi anche con gli istituti nazionali di statistica e con Eurostat per l’elaborazione, la produzione e la divulgazione di statistiche ufficiali. Tali attività di ricerca dovrebbero tuttavia essere compatibili con la finalità per la quale sono stati richiesti i dati e il titolare dei dati dovrebbe essere informato in merito all’ulteriore condivisione dei dati che ha fornito. È opportuno che le persone che svolgono attività di ricerca o gli organismi di ricerca con cui tali dati possono essere condivisi agiscano senza fini di lucro o nell’ambito di una missione di interesse pubblico riconosciuta dallo Stato. Non si dovrebbero considerare organismi di ricerca ai fini del presente regolamento quelli su cui imprese commerciali abbiano un’influenza tanto significativa da consentire loro di esercitare, per ragioni strutturali, un controllo da cui potrebbe derivare un accesso preferenziale ai risultati della ricerca.
(77) Per gestire un’emergenza pubblica transfrontaliera o a un’altra necessità eccezionale, le richieste di dati possono essere rivolte ai titolari dei dati in Stati membri diversi da quello dell’ente pubblico richiedente. In tal caso, l’ente pubblico richiedente dovrebbe notificare l’autorità competente dello Stato membro in cui il titolare dei dati è stabilito al fine di consentirle di esaminare la richiesta alla luce dei criteri stabiliti nel presente regolamento. È opportuno che si applichi lo stesso alle richieste presentate dalla Commissione, dalla Banca centrale europea o da un organismo dell’Unione. Qualora siano richiesti dati personali, l’ente pubblico dovrebbe notificare l’autorità di controllo responsabile di sorvegliare l’applicazione del regolamento (UE) 2016/679 nello Stato membro in cui l’ente pubblico è stabilito. È opportuno che l’autorità competente interessata abbia la facoltà di consigliare all’ente pubblico, alla Commissione, alla Banca centrale europea o all’organismo dell’Unione di cooperare con gli enti pubblici dello Stato membro in cui il titolare dei dati è stabilito sulla necessità di garantire un onere amministrativo ridotto al minimo per il titolare dei dati. Qualora abbia fondate obiezioni circa la conformità della richiesta al presente regolamento, l’autorità competente dovrebbe respingere la richiesta dell’ente pubblico, della Commissione, della Banca centrale europea o dell’organismo dell’Unione, che dovrebbe tenere conto di tali obiezioni prima di procedere ulteriormente, ivi inclusa la ripresentazione della richiesta.
(78) La capacità dei clienti dei servizi di trattamento dei dati, compresi i servizi cloud ed edge, di passare da un servizio di trattamento dei dati a un altro, mantenendo nel contempo una funzionalità minima del servizio e senza tempi di inattività dei servizi, o di utilizzare simultaneamente i servizi di vari fornitori senza indebiti ostacoli e costi di trasferimento di dati, è una condizione fondamentale per un mercato più competitivo con minori barriere all’ingresso di nuovi fornitori di servizi di trattamento dei dati e per garantire ulteriore resilienza per gli utenti di tali servizi. I clienti che beneficiano di offerte gratuite dovrebbero beneficiare anche delle disposizioni in materia di passaggio stabilite nel presente regolamento, in modo che tali offerte non comportino situazioni di lock-in per i clienti.
(79) Il regolamento (UE) 2018/1807 del Parlamento europeo e del Consiglio (30) incoraggia i fornitori di servizi di trattamento dei dati a elaborare codici di condotta di autoregolamentazione e a dare loro effettiva attuazione, contemplando le migliori prassi per agevolare, tra l’altro, il passaggio ad altri fornitori di servizi di trattamento dei dati e la portabilità dei dati. Data la limitata diffusione dei quadri di autoregolamentazione elaborati in risposta e la generale indisponibilità di interfacce e norme aperte, è necessario adottare una serie di obblighi normativi minimi per i fornitori di servizi di trattamento dei dati al fine di eliminare gli ostacoli pre-commerciali, commerciali, tecnici, contrattuali e organizzativi, tra cui, ad esempio, la ridotta velocità di trasferimento dei dati all’uscita del cliente, che si frappongono a un passaggio efficace tra servizi di trattamento dei dati.
(80) I servizi di trattamento dei dati dovrebbero comprendere i servizi che consentono un accesso alla rete universale e su richiesta a un pool condiviso, configurabile, scalabile ed elastico di risorse informatiche distribuite. Tali risorse informatiche comprendono le reti, i server o altre infrastrutture virtuali o fisiche, i software, compresi gli strumenti di sviluppo software, l’archiviazione, le applicazioni e i servizi. La capacità del cliente del servizio di trattamento dei dati di disporre unilateralmente di capacità informatiche a fornitura diretta, quali il tempo di utilizzo del server o lo spazio per l’archiviazione in rete, senza alcuna interazione umana da parte del fornitore di servizi di trattamento dei dati potrebbe essere descritta come una capacità che richiede uno sforzo di gestione minimo e che prevede un’interazione minima tra fornitore e cliente. Il termine «universale» è utilizzato per descrivere il fatto che le capacità informatiche sono fornite sulla rete e sono accessibili attraverso meccanismi che promuovono l’uso di piattaforme «thin client» o «thick client» (dai browser web ai dispositivi mobili e alle postazioni di lavoro). Il termine «scalabile» si riferisce alle risorse informatiche che sono assegnate in modo flessibile dal fornitore di servizi di trattamento dei dati, indipendentemente dall’ubicazione geografica delle risorse, per gestire le fluttuazioni della domanda. Il termine «elastico» è usato per descrivere le risorse di calcolo fornite e rilasciate in base alla domanda, al fine di aumentare o diminuire rapidamente le risorse disponibili in base al carico di lavoro. L’espressione «pool condiviso» è usata per descrivere le risorse di calcolo che sono fornite a una molteplicità di utenti che condividono un accesso comune al servizio, mentre l’elaborazione è effettuata separatamente per ciascun utente anche se il servizio è fornito a partire dalla stessa apparecchiatura elettronica. Il termine «distribuito» è usato per descrivere le risorse di calcolo che si trovano su computer diversi o dispositivi collegati in rete e che comunicano e si coordinano tra di loro mediante il passaggio di messaggi. Il termine «altamente distribuito» è usato per descrivere la natura dei servizi di trattamento dei dati che comportano un trattamento dei dati più vicino al luogo in cui i dati sono generati o raccolti, ad esempio in un dispositivo connesso per il trattamento dei dati. L’edge computing, che è una forma di trattamento dei dati altamente distribuito, dovrebbe generare nuovi modelli commerciali e modelli di fornitura di servizi cloud che dovrebbero essere fin dall’inizio aperti e interoperabili.
(81) Il concetto generico di «servizi di trattamento dei dati» comprende un numero considerevole di servizi con una gamma molto ampia e variegata di finalità, funzionalità e impostazioni tecniche. Come comunemente inteso dai fornitori e dagli utenti, e in linea con le norme ampiamente utilizzate, i servizi di trattamento dei dati rientrano in uno o più dei tre seguenti modelli di fornitura di servizi di trattamento dei dati, ossia il servizio a livello di infrastruttura (infrastructure-as-a-service – IaaS), il servizio a livello di piattaforma (platform-as-a-service - PaaS) e il servizio a livello di software (software-as-a-service - SaaS). Tali modelli di fornitura di servizi rappresentano una combinazione specifica e preconfezionata di risorse informatiche offerte da un fornitore di servizi di trattamento dei dati. Tali tre modelli fondamentali di fornitura di servizi di trattamento dei dati sono ulteriormente completati da variazioni emergenti, ciascuna costituita da una combinazione distinta di risorse informatiche, quali il servizio a livello di archiviazione (Storage-as-a-Service) e il servizio a livello di banca dati (Database-as-a-Service). I servizi di trattamento dei dati possono essere classificati in una moltitudine più granulare e divisi in un elenco non esaustivo di diversi «stessi tipi di servizio», ossia insiemi di servizi di trattamento dei dati che condividono lo stesso obiettivo primario e le stesse funzionalità principali nonché lo stesso tipo di modelli di trattamento dei dati, che non sono correlati alle caratteristiche operative del servizio (stesso tipo di servizio). I servizi che rientrano nello stesso tipo di servizio possono condividere lo stesso modello di fornitura di servizi di trattamento dei dati; tuttavia, due banche dati che apparentemente condividono il medesimo obiettivo primario potrebbero rientrare in una sottocategoria più granulare di servizi simili dopo aver esaminato il loro modello di trattamento dei dati, il modello di distribuzione e i casi d’uso a cui sono mirate. I servizi che rientrano nello stesso tipo di servizio possono avere caratteristiche diverse e concorrenti, ad esempio in termini di prestazioni, sicurezza, resilienza e qualità.
(82) Compromettere l’estrazione dei dati esportabili che appartengono al cliente da parte del fornitore di servizi di trattamento dei dati di origine può impedire il ripristino delle funzionalità del servizio nell’infrastruttura del fornitore di servizi di trattamento dei dati di destinazione. Al fine di facilitare la strategia di uscita del cliente, evitare compiti inutili e onerosi e garantire che il cliente non perda nessuno dei suoi dati a seguito del processo di passaggio, il fornitore di servizi di trattamento dei dati di origine dovrebbe preventivamente informare il cliente della portata dei dati che possono essere esportati una volta che il cliente decide di passare a un diverso servizio fornito da un diverso fornitore di servizi di trattamento dei dati oppure di passare a un’infrastruttura TIC locale. La portata dei dati esportabili dovrebbe includere almeno i dati di ingresso e uscita, inclusi i metadati, direttamente o indirettamente generati o cogenerati dall’utilizzo del servizio di trattamento dei dati da parte del cliente, ad esclusione di eventuali risorse o dati del fornitore di servizi di trattamento dei dati o di un terzo. I dati esportabili non dovrebbero includere beni o dati del fornitore di servizi di trattamento dei dati o di un terzo protetti da diritti di proprietà intellettuale o che costituiscono segreti commerciali di tale fornitore o di tale terzo, o dati relativi all’integrità e alla sicurezza del servizio, la cui esportazione esporrebbe i fornitori di servizi di trattamento dei dati a vulnerabilità legate alla cibersicurezza. Tali esenzioni non dovrebbero ostacolare o ritardare il processo di passaggio.
(83) Le risorse digitali si riferiscono a elementi in formato digitale sui quali il cliente ha il diritto d’uso, compresi applicazioni e metadati connessi alla configurazione delle impostazioni, la sicurezza e la gestione dei diritti di accesso e di controllo, nonché altri elementi come forme di tecnologie di virtualizzazione, tra cui macchine virtuali e container. Le risorse digitali possono essere trasferite se il cliente ha il diritto d’uso, indipendentemente dal rapporto contrattuale con il servizio di trattamento dei dati che il cliente intende abbandonare per passare a un altro. Tali altri elementi sono essenziali per l’uso efficace dei dati e delle applicazioni del cliente nell’ambiente del fornitore di servizi di trattamento dei dati di destinazione.
(84) Il presente regolamento mira ad agevolare il passaggio tra servizi di trattamento dei dati, che comprende le condizioni e le azioni necessarie affinché un cliente risolva un contratto per un servizio di trattamento dei dati, concluda uno o più nuovi contratti con altri fornitori di servizi di trattamento dei dati, trasferisca i suoi dati esportabili e le sue risorse digitali e, se applicabile, benefici dell’equivalenza funzionale.
(85) Il passaggio è un’operazione avviata dal cliente che comprende varie fasi, tra cui l’estrazione dei dati, che si riferisce al download dei dati dall’ecosistema del fornitore di servizi di trattamento dei dati di origine; la trasformazione, quando i dati sono strutturati in un modo che non corrisponde allo schema della posizione di destinazione; il caricamento dei dati nella nuova posizione di destinazione. In una situazione specifica definita nel presente regolamento, la disaggregazione di un determinato servizio dal contratto e il suo trasferimento a un diverso fornitore dovrebbero anch’essi essere considerati come un passaggio. Il processo di passaggio è talvolta gestito da un terzo per conto del cliente. Di conseguenza, tutti i diritti e gli obblighi del cliente stabiliti dal presente regolamento, compreso l’obbligo di cooperare in buona fede, dovrebbero essere intesi come applicabili a detto terzo in tali circostanze. I fornitori di servizi di trattamento dei dati e i clienti hanno diversi livelli di responsabilità, a seconda delle fasi del processo cui si fa riferimento. Ad esempio, il fornitore di servizi di trattamento dei dati di origine è responsabile dell’estrazione dei dati in un formato leggibile da dispositivo automatico, ma sono il cliente e il fornitore di servizi di trattamento dei dati di destinazione a dover caricare i dati nel nuovo ambiente, a meno che non ci si avvalga di uno specifico servizio professionale di transizione. Un cliente che intenda esercitare i diritti relativi al passaggio previsti dal presente regolamento dovrebbe informare il fornitore di servizi di trattamento dei dati di origine della sua decisione di passare a un diverso fornitore di servizi di trattamento dei dati, di passare a un’infrastruttura TIC locale o di cancellare le risorse e i dati esportabili che lo riguardano.
(86) Per equivalenza funzionale si intende il ripristino, sulla base dei dati esportabili e delle risorse digitali del cliente, di un livello minimo di funzionalità nell’ambiente di un nuovo servizio di trattamento dei dati dello stesso tipo di servizio dopo il passaggio, laddove il servizio del trattamento dei dati di destinazione fornisce risultati sostanzialmente comparabili in risposta al medesimo input per le caratteristiche condivise fornite al cliente in virtù del contratto. Si presuppone che i fornitori di servizi di trattamento dei dati faciliteranno solo l’equivalenza funzionale per le caratteristiche che i servizi del trattamento dei dati sia di origine che di destinazione offrono in modo indipendente. Il presente regolamento non comporta l’obbligo di facilitare l’equivalenza funzionale per i fornitori di servizi di trattamento dei dati diversi da quelli che offrono servizi del modello di fornitura IaaS.
(87) I servizi di trattamento dei dati sono utilizzati in diversi settori e variano in termini di complessità e tipo di servizio. Si tratta di un aspetto importante da tenere in considerazione per quanto riguarda il processo di portabilità e le relative tempistiche. Tuttavia, una proroga del periodo transitorio a motivo dell’impossibilità tecnica di consentire il completamento del processo di passaggio entro il termine stabilito dovrebbe essere invocata solo in casi debitamente giustificati. L’onere della prova a tale riguardo dovrebbe ricadere interamente sul fornitore del servizio di trattamento dei dati interessato. Ciò non pregiudica il diritto esclusivo del cliente di prorogare una volta il periodo transitorio per un periodo che ritiene più adeguato alle proprie finalità. Il cliente può invocare tale diritto a una proroga prima o durante il periodo transitorio, tenuto conto del fatto che il contratto rimane applicabile durante il periodo transitorio.
(88) Le tariffe di passaggio sono tariffe applicate dai fornitori di servizi di trattamento dei dati ai clienti per il processo di passaggio. In genere, tali tariffe sono destinate a trasferire i costi che il fornitore di servizi di trattamento dei dati di origine può sostenere a causa del processo di passaggio al cliente che desidera passare a un altro fornitore. Esempi comuni di tariffe di passaggio sono i costi relativi al transito dei dati da un fornitore di servizi di trattamento dei dati a un altro fornitore o a un’infrastruttura TIC locale (tariffe di uscita dei dati) o i costi sostenuti per azioni di sostegno specifiche durante il processo di passaggio. Tariffe di uscita dei dati inutilmente elevate o altri oneri ingiustificati non correlati agli effettivi costi di passaggio inibiscono il passaggio dei clienti, restringono la libera circolazione dei dati e possono limitare la concorrenza e causare effetti di lock-in per i clienti, riducendo gli incentivi a scegliere un fornitore di servizi diverso o aggiuntivo. È pertanto opportuno abolire le tariffe di passaggio dopo tre anni dall’entrata in vigore del presente regolamento. I fornitori dei servizi di trattamento dei dati dovrebbero poter imporre al cliente tariffe di passaggio ridotte fino a tale data.
(89) Un fornitore di servizi di trattamento dei dati di origine dovrebbe poter esternalizzare determinati compiti e compensare soggetti terzi al fine di rispettare gli obblighi di cui al presente regolamento. Un cliente non dovrebbe sopportare i costi derivanti dall’esternalizzazione dei servizi conclusa dal fornitore di servizi di trattamento dei dati di origine durante il processo di passaggio e tali costi dovrebbero essere considerati ingiustificati, a meno che non coprano il lavoro, svolto dal fornitore di servizi di trattamento dei dati durante il processo di passaggio in risposta a una richiesta di sostegno supplementare da parte del cliente, che va al di là degli obblighi del fornitore in materia di passaggio espressamente disposti nel presente regolamento. Nessuna disposizione del presente regolamento impedisce a un cliente di compensare soggetti terzi per il sostegno fornito nel processo di migrazione né alle parti di convenire contratti per servizi di trattamento dei dati di durata fissa, che prevedano sanzioni proporzionate in caso di risoluzione anticipata per coprire la risoluzione anticipata di tali contratti, conformemente al diritto dell’Unione o nazionale. Al fine di promuovere la concorrenza, è opportuno che l’abolizione graduale delle tariffe associate al passaggio tra diversi fornitori di servizi di trattamento dei dati includa specificamente le tariffe di uscita dei dati imposte da un fornitore di servizi di trattamento dei dati a un cliente. Tali spese standard di servizio per la fornitura dei servizi di trattamento dei dati in quanto tali non costituiscono tariffe di passaggio. Tali spese standard di servizio non sono soggette ad abolizione e restano applicabili fino a quando il contratto di fornitura dei servizi interessati cessa di applicarsi. Il presente regolamento consente al cliente di chiedere la fornitura di servizi aggiuntivi che esulano dagli obblighi in materia di passaggio che incombono al fornitore ai sensi del presente regolamento. Tali servizi aggiuntivi possono essere forniti e fatturati dal fornitore quando sono forniti su richiesta del cliente, previa accettazione da parte di quest’ultimo dei relativi costi.
(90) È necessario un approccio normativo all’interoperabilità che sia ambizioso e propizio all’innovazione, al fine di superare il «vendor lock-in» (blocco da fornitore), che compromette la concorrenza e lo sviluppo di nuovi servizi. L’interoperabilità tra servizi di trattamento dei dati coinvolge più interfacce e livelli di infrastruttura e software e raramente si limita a un test binario di realizzabilità o meno. La realizzazione di tale interoperabilità è invece soggetta a un’analisi costi-benefici, necessaria per stabilire se sia utile per perseguire risultati ragionevolmente prevedibili. La norma ISO/IEC 19941:2017 è un’importante norma internazionale che costituisce un riferimento per il conseguimento degli obiettivi del presente regolamento, in quanto contiene considerazioni tecniche che chiariscono la complessità di tale processo.
(91) Qualora i fornitori di servizi di trattamento dei dati siano a loro volta clienti di servizi di trattamento dei dati offerti da un fornitore terzo, beneficeranno di un passaggio più efficace, pur rimanendo nel contempo vincolati dagli obblighi sanciti dal presente regolamento per quanto riguarda le loro offerte di servizi.
(92) È opportuno che i fornitori di servizi di trattamento dei dati siano tenuti a offrire, nei limiti della loro capacità e in maniera proporzionata ai rispettivi obblighi, tutta l’assistenza e tutto il sostegno necessari per garantire il buon esito, l’efficacia e la sicurezza del processo di passaggio a un servizio di un altro fornitore di servizi di trattamento dei dati. Il presente regolamento non impone ai fornitori di servizi di trattamento dei dati di sviluppare nuove categorie di servizi di trattamento dei dati, anche all’interno o sulla base dell’infrastruttura TIC di altri fornitori di servizi di trattamento dei dati, al fine di garantire l’equivalenza funzionale in un ambiente diverso dai loro sistemi. Un fornitore di servizi di trattamento dei dati di origine non ha accesso all’ambiente del fornitore di servizi di trattamento dei dati di destinazione, né dispone di informazioni al riguardo. L’equivalenza funzionale non dovrebbe essere intesa nel senso che obbliga il fornitore di servizi di trattamento dei dati di origine a ricostruire il servizio in questione all’interno dell’infrastruttura del fornitore di servizi di trattamento dei dati di destinazione. Il fornitore di servizi di trattamento dei dati di origine dovrebbe invece adottare tutte le misure ragionevoli in suo potere per agevolare il processo di conseguimento dell’equivalenza funzionale fornendo capacità, informazioni adeguate, documentazione, supporto tecnico e, se del caso, gli strumenti necessari.
(93) I fornitori di servizi di trattamento dei dati dovrebbero inoltre essere tenuti a rimuovere gli ostacoli esistenti e a non imporne di nuovi, anche per i clienti che desiderano passare a un’infrastruttura TIC locale. Gli ostacoli possono, tra l’altro, essere di natura pre-commerciale, commerciale, tecnica, contrattuale o organizzativa. I fornitori di servizi di trattamento dei dati dovrebbero inoltre essere tenuti a rimuovere gli ostacoli alla disaggregazione di uno specifico servizio individuale da altri servizi di trattamento dei dati forniti in virtù di un contratto e a fare in modo che il servizio interessato sia disponibile per il passaggio, in assenza di ostacoli tecnici rilevanti e comprovati che impediscano tale disaggregazione.
(94) Durante l’intero processo di passaggio dovrebbe essere mantenuto un elevato livello di sicurezza. Ciò significa che il fornitore di servizi di trattamento dei dati di origine dovrebbe estendere il livello di sicurezza al quale si è impegnato per il servizio a tutti gli aspetti tecnici di cui è responsabile durante il processo di passaggio, quali connessioni di rete o dispositivi fisici. I diritti esistenti relativi alla risoluzione dei contratti, compresi quelli introdotti dal regolamento (UE) 2016/679 e dalla direttiva (UE) 2019/770 del Parlamento europeo e del Consiglio (31) non dovrebbero essere pregiudicati. Il presente regolamento non dovrebbe essere inteso nel senso che impedisce ai fornitori di servizi di trattamento dei dati di fornire ai clienti servizi, caratteristiche e funzionalità nuovi e migliorati o di competere con altri fornitori di servizi di trattamento dei dati su tale base.
(95) Le informazioni che i fornitori di servizi di trattamento dei dati devono fornire al cliente potrebbero sostenere la strategia di uscita di quest’ultimo. È opportuno che tali informazioni includano le procedure per avviare il passaggio dal servizio di trattamento dei dati, i formati di dati leggibili da dispositivo automatico in cui i dati dell’utente possono essere esportati, gli strumenti destinati all’esportazione dei dati, comprese le interfacce aperte e le informazioni sulla compatibilità con norme armonizzate o specifiche comuni basate su specifiche di interoperabilità aperte, le informazioni sulle restrizioni e le limitazioni tecniche conosciute che potrebbero avere ripercussioni sul processo di passaggio e il tempo stimato necessario per completare il processo di passaggio.
(96) Per agevolare l’interoperabilità e il passaggio tra servizi di trattamento dei dati è opportuno che gli utenti e i fornitori di servizi di trattamento dei dati prendano in considerazione l’uso di strumenti di attuazione e di conformità, in particolare quelli pubblicati dalla Commissione sotto forma di un codice dell’UE di regolamentazione del cloud e orientamenti sugli appalti pubblici dei servizi di trattamento dei dati. In particolare, le clausole contrattuali standard contribuiscono ad accrescere la fiducia nei servizi di trattamento dei dati, a creare una relazione più equilibrata tra utenti e fornitori di servizi di trattamento dei dati e a rafforzare la certezza del diritto riguardo alle condizioni applicabili al passaggio ad altri servizi di trattamento dei dati. In tale contesto è opportuno che gli utenti e i fornitori di servizi di trattamento dei dati prendano in considerazione il ricorso a clausole contrattuali standard o ad altri strumenti di autoregolamentazione in materia di conformità, a condizione che siano pienamente conformi al presente regolamento, elaborati dagli organismi o dai gruppi di esperti pertinenti istituiti a norma del diritto dell’Unione.
(97) Al fine di agevolare il passaggio tra servizi di trattamento dei dati, tutte le parti interessate, compresi i fornitori di servizi di trattamento dei dati sia di origine che di destinazione, dovrebbero cooperare in buona fede al fine di consentire un processo di passaggio efficace e il trasferimento sicuro e tempestivo dei dati necessari in un formato di uso comune e leggibile da dispositivo automatico e mediante interfacce aperte, evitando interruzioni del servizio e mantenendone la continuità.
(98) I servizi di trattamento dei dati che riguardano servizi le cui caratteristiche principali siano state per la maggior parte personalizzate in risposta alle specifiche richieste di un singolo cliente o i cui componenti siano stati tutti sviluppati per le finalità di un singolo cliente dovrebbero essere esentati da alcuni degli obblighi applicabili al passaggio tra servizi di trattamento dei dati. Ciò non dovrebbe includere servizi che il fornitore di servizi di trattamento dei dati offre su vasta scala commerciale tramite il proprio catalogo di servizi. Tra gli obblighi del fornitore di servizi di trattamento dei dati rientra quello di informare debitamente i potenziali clienti di tali servizi, prima della conclusione di un contratto, in merito agli obblighi stabiliti nel presente regolamento che non si applicano ai servizi interessati. Nulla impedisce al fornitore di servizi di trattamento dei dati di diffondere infine detti servizi su larga scala, nel qual caso tale fornitore dovrebbe rispettare tutti gli obblighi in materia di passaggio stabiliti nel presente regolamento.
(99) In linea con il requisito minimo di consentire il passaggio tra fornitori di servizi di trattamento dei dati, il presente regolamento mira altresì a migliorare l’interoperabilità per l’uso in parallelo di molteplici servizi di trattamento dei dati con funzionalità complementari. Ciò riguarda situazioni in cui i clienti non risolvono un contratto per passare a un diverso fornitore di servizi di trattamento dei dati, bensì utilizzano molteplici servizi di vari fornitori in parallelo, in modo interoperabile, così da beneficiare delle funzionalità complementari dei vari servizi nella configurazione di sistema del cliente stesso. Si riconosce tuttavia che l’uscita dei dati da un fornitore di servizi di trattamento dei dati a un altro per agevolare l’uso in parallelo di servizi può essere un’attività continuativa, al contrario dell’uscita una tantum richiesta nel quadro del processo di passaggio. I fornitori di servizi di trattamento dei dati dovrebbero pertanto poter continuare a imporre tariffe di uscita dei dati, non superiori ai costi sostenuti, ai fini di un uso in parallelo dopo tre anni dalla data di entrata in vigore del presente regolamento. Ciò è importante, tra l’altro, per il successo dell’attuazione di strategie «multicloud», che consentono ai clienti di attuare strategie informatiche pronte per le sfide del futuro e riducono la dipendenza dai singoli fornitori di servizi di trattamento dei dati. La promozione di un approccio multicloud per i clienti dei servizi di trattamento dei dati può altresì contribuire ad aumentare la loro resilienza operativa digitale, come riconosciuto per gli istituti che forniscono servizi finanziari nel regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio (32) .
(100) Si prevede che le norme e le specifiche di interoperabilità aperte elaborate conformemente all’allegato II del regolamento (UE) n. 1025/2012 del Parlamento europeo e del Consiglio (33) nel settore dell’interoperabilità e della portabilità rendano attuabile un ambiente cloud con più fornitori, che è un requisito fondamentale per un’innovazione aperta nell’economia europea dei dati. Poiché l’adozione da parte del mercato di norme individuate nell’ambito dell’iniziativa di coordinamento della normazione del cloud (cloud standardisation coordination - CSC) conclusa nel 2016 è stata limitata, è altresì necessario che la Commissione faccia affidamento sulle parti presenti sul mercato che sviluppino le pertinenti specifiche di interoperabilità aperte al fine di stare al passo con il veloce ritmo dello sviluppo tecnologico in questo settore. Tali specifiche di interoperabilità aperte possono essere poi adottate dalla Commissione sotto forma di specifiche comuni. Inoltre, laddove i processi orientati al mercato non abbiano dimostrato la capacità di stabilire specifiche comuni o norme che agevolino un’efficace interoperabilità nel cloud a livello di PaaS e SaaS, è opportuno che la Commissione sia in grado, sulla base del presente regolamento e in conformità del regolamento (UE) n. 1025/2012, di chiedere agli organismi europei di normazione di elaborare tali norme per gli stessi servizi per i quali tali norme non esistono ancora. Inoltre, la Commissione incoraggerà le parti presenti sul mercato a elaborare specifiche di interoperabilità aperte pertinenti. Previa consultazione dei portatori di interessi, la Commissione dovrebbe poter imporre, mediante atti di esecuzione, il ricorso a norme armonizzate per l’interoperabilità o a specifiche comuni per tipi di servizi specifici mediante un riferimento in un archivio centrale dell’Unione delle norme per l’interoperabilità dei servizi di trattamento dei dati. I fornitori di servizi di trattamento dei dati dovrebbero garantire la compatibilità con tali norme armonizzate e specifiche comuni basate su specifiche di interoperabilità aperte, che non dovrebbero avere un impatto negativo sulla sicurezza o sull’integrità dei dati. Si farà riferimento alle norme armonizzate di interoperabilità dei servizi di trattamento dei dati e alle specifiche comuni basate su specifiche di interoperabilità aperte solo se conformi ai criteri stabiliti nel presente regolamento, che hanno il medesimo significato delle disposizioni di cui all’allegato II del regolamento (UE) n. 1025/2012 e agli aspetti di interoperabilità definiti nella norma internazionale ISO/IEC 19941:2017. La normazione dovrebbe altresì tener conto delle esigenze delle PMI.
(101) I paesi terzi possono adottare leggi, regolamenti e altri atti giuridici volti a trasferire direttamente o a garantire l’accesso governativo ai dati non personali situati al di fuori dei loro confini, anche nell’Unione. Le sentenze di autorità giurisdizionali o le decisioni di altre autorità giudiziarie o amministrative, comprese le autorità incaricate dell’applicazione della legge di paesi terzi, che dispongono un tale trasferimento di dati non personali o l’accesso agli stessi dovrebbero avere carattere esecutivo quando sono basate su un accordo internazionale in vigore tra il paese terzo richiedente e l’Unione o un suo Stato membro, come ad esempio un trattato di mutua assistenza giudiziaria. In altri casi possono verificarsi situazioni in cui una richiesta di trasferimento di dati non personali o di accesso agli stessi basata sulla legislazione di un paese terzo sia in conflitto con l’obbligo di proteggere tali dati a norma del diritto dell’Unione o dello Stato membro pertinente, in particolare per quanto riguarda la tutela dei diritti fondamentali dell’individuo, quali il diritto alla sicurezza e il diritto a un ricorso effettivo, o gli interessi fondamentali di uno Stato membro connessi alla sicurezza nazionale o alla difesa, nonché la protezione dei dati sensibili sotto il profilo commerciale, inclusa la protezione dei segreti commerciali, e la protezione dei diritti di proprietà intellettuale, compresi gli impegni contrattuali dello Stato membro in materia di riservatezza conformemente a tale legislazione. In assenza di accordi internazionali atti a disciplinare simili questioni, il trasferimento o l’accesso a dati non personali dovrebbero essere consentiti solo se è stato verificato che l’ordinamento giuridico del paese terzo impone che siano indicati i motivi e la proporzionalità della decisione, che la sentenza o decisione abbia carattere specifico e che l’obiezione motivata del destinatario sia sottoposta al riesame da parte di un organo giurisdizionale competente di un paese terzo, cui sia conferito il potere di tenere debitamente conto dei pertinenti interessi giuridici del fornitore di tali dati. Ove possibile in base alle condizioni della richiesta di accesso ai dati dell’autorità del paese terzo, è opportuno che il fornitore di servizi di trattamento dei dati sia in grado di informare il cliente i cui dati sono richiesti prima che sia concesso l’accesso a detti dati al fine di verificare la presenza di un potenziale conflitto tra tale accesso e il diritto dell’Unione o nazionale, come quello sulla protezione dei dati sensibili sotto il profilo commerciale, compresa la protezione dei segreti commerciali, dei diritti di proprietà intellettuale e degli impegni contrattuali in materia di riservatezza.
(102) Per promuovere ulteriormente la fiducia nei dati è importante che siano attuate garanzie, nella misura del possibile, per assicurare che i cittadini dell’Unione, gli enti del settore pubblico e le imprese abbiano il controllo sui propri dati. Dovrebbero inoltre essere rispettati, tra l’altro, il diritto, i valori e le norme dell’Unione, in materia di sicurezza, protezione e riservatezza dei dati e tutela dei consumatori. Al fine di prevenire l’accesso governativo illecito a dati non personali da parte di autorità di paesi terzi, è opportuno che i fornitori di servizi di trattamento dei dati soggetti al presente regolamento, quali i servizi cloud ed edge, adottino tutte le misure ragionevoli per impedire l’accesso ai sistemi in cui sono archiviati dati non personali, anche, ove opportuno, mediante la cifratura dei dati, la frequente sottoposizione a audit, l’adesione verificata ai pertinenti sistemi di certificazione della sicurezza e la modifica delle politiche aziendali.
(103) La normazione e l’interoperabilità semantica dovrebbero svolgere un ruolo fondamentale nella formulazione di soluzioni tecniche volte a garantire l’interoperabilità all’interno degli spazi comuni europei di dati e tra essi, che sono quadri interoperabili per scopi specifici, settoriali o intersettoriali di norme e prassi comuni per condividere o trattare congiuntamente i dati, anche ai fini dello sviluppo di nuovi prodotti e servizi, della ricerca scientifica o di iniziative della società civile. Il presente regolamento stabilisce taluni requisiti essenziali in materia di interoperabilità. I partecipanti agli spazi di dati che offrono dati o servizi di dati ad altri partecipanti, che sono entità che agevolano la condivisione di dati o se ne occupano all’interno di spazi comuni europei di dati, compresi i titolari dei dati, dovrebbero rispettare tali requisiti nella misura in cui riguardano elementi sotto il loro controllo. Il rispetto di tali norme può essere garantito aderendo ai requisiti essenziali stabiliti dal presente regolamento oppure può essere presunto sulla base della conformità alle norme armonizzate o alle specifiche comuni attraverso una presunzione di conformità. Al fine di agevolare la conformità ai requisiti di interoperabilità è necessario prevedere una presunzione di conformità per le soluzioni di interoperabilità che soddisfano le norme armonizzate o parti di esse conformemente al regolamento (UE) n. 1025/2012, che rappresenta il quadro predefinito per l’elaborazione di norme che prevedono tali presunzioni. È opportuno che la Commissione valuti gli ostacoli all’interoperabilità e dia priorità alle esigenze di normazione, sulla base delle quali può chiedere a una o più organizzazioni europee di normazione, ai sensi del regolamento (UE) n. 1025/2012, di elaborare norme armonizzate che soddisfino i requisiti essenziali stabiliti dal presente regolamento. Laddove tali richieste non si traducano in norme armonizzate oppure tali norme armonizzate siano insufficienti a garantire la conformità con i requisiti essenziali del presente regolamento, la Commissione dovrebbe poter adottare specifiche comuni in tali settori, a condizione che lo faccia nel pieno rispetto del ruolo e delle funzioni delle organizzazioni di normazione. Specifiche comuni dovrebbero essere adottate solo come soluzione eccezionale di ripiego tesa ad agevolare il rispetto dei requisiti essenziali del presente regolamento, o quando il processo di normazione è bloccato, oppure quando si verificano ritardi nella definizione di opportune norme armonizzate. Qualora un ritardo è dovuto alla complessità tecnica della norma in questione, la Commissione dovrebbe tenerne conto prima di prendere in considerazione la definizione di specifiche comuni. Le specifiche comuni dovrebbero essere elaborate in modo aperto e inclusivo e tenere conto, se del caso, del parere del comitato europeo per l’innovazione in materia di dati (European Data Innovation Board – EDIB) istituito dal regolamento (UE) 2022/868. Inoltre, potrebbero essere adottate specifiche comuni nei diversi settori, conformemente al diritto dell’Unione o nazionale, sulla base delle esigenze specifiche di tali settori. È altresì opportuno che la Commissione sia autorizzata ad imporre l’elaborazione di norme armonizzate per l’interoperabilità dei servizi di trattamento dei dati.
(104) Per promuovere l’interoperabilità degli strumenti per l’esecuzione automatica di accordi di condivisione dei dati è necessario stabilire requisiti essenziali relativi ai contratti intelligenti redatti da professionisti per altri o integrati in applicazioni che sostengono l’attuazione di accordi per la condivisione dei dati. Al fine di agevolare la conformità dei contratti intelligenti a tali requisiti essenziali è necessario prevedere una presunzione di conformità per i contratti intelligenti che soddisfano le norme armonizzate o parti di esse conformemente al regolamento (UE) n. 1025/2012. La nozione di «contratto intelligente» nel presente regolamento è tecnologicamente neutra. I contratti intelligenti possono ad esempio essere collegati a un registro elettronico. I requisiti essenziali dovrebbero applicarsi solo ai venditori di contratti intelligenti, ma non nel caso in cui sviluppino internamente contratti intelligenti destinati all’esclusivo uso interno. Il requisito essenziale teso a garantire che i contratti intelligenti possano essere interrotti e risolti implica il consenso reciproco delle parti all’accordo di condivisione dei dati. L’applicabilità delle pertinenti norme del diritto in materia di protezione civile, contrattuale e dei consumatori agli accordi di condivisione dei dati rimane o dovrebbe rimanere impregiudicata dall’uso di contratti intelligenti per l’esecuzione automatica di tali accordi.
(105) Al fine di dimostrare il rispetto dei requisiti essenziali del presente regolamento, il venditore di un contratto intelligente, o in sua assenza la persona la cui attività commerciale, imprenditoriale o professionale prevede l’esecuzione di contratti intelligenti per altri nel contesto dell’esecuzione di un accordo o parte di esso, per la messa a disposizione di dati nel quadro del presente regolamento, dovrebbe effettuare una valutazione della conformità e rilasciare una dichiarazione di conformità UE. Tale valutazione della conformità dovrebbe essere soggetta ai principi generali definiti nel regolamento (CE) n. 765/2008 del Parlamento europeo e del Consiglio (34) e nella decisione (CE) n. 768/2008 del Parlamento europeo e del Consiglio (35) .
(106) Oltre all’obbligo per gli sviluppatori professionali di contratti intelligenti di rispettare i requisiti essenziali, è importante altresì incoraggiare i partecipanti all’interno degli spazi dati che offrono dati o servizi basati sui dati ad altri partecipanti all’interno degli spazi comuni europei di dati e tra essi a supportare l’interoperabilità degli strumenti per la condivisione dei dati, contratti intelligenti compresi.
(107) Al fine di garantire l’applicazione e il rispetto del presente regolamento è opportuno che gli Stati membri designino una o più autorità competenti. Se uno Stato membro designa più di un’autorità competente dovrebbe anche designare un coordinatore dei dati tra di esse. È opportuno che le autorità competenti cooperino tra loro. Esercitando i loro poteri di indagine conformemente alle procedure nazionali applicabili, le autorità competenti dovrebbero poter cercare e ottenere informazioni, in particolare in relazione alle attività di un soggetto nell’ambito della loro competenza e, anche nel contesto di indagini congiunte, tenendo debitamente conto del fatto che le misure di vigilanza e di esecuzione riguardanti un soggetto nell’ambito della competenza di un altro Stato membro dovrebbero essere adottate dall’autorità competente di detto Stato membro, se del caso, in conformità delle procedure relative alla cooperazione transfrontaliera. Le autorità competenti dovrebbero prestarsi vicendevolmente assistenza in modo tempestivo, in particolare quando un’autorità competente in uno Stato membro detiene informazioni pertinenti per un’indagine effettuata dalle autorità competenti in altri Stati membri oppure è in grado di raccogliere siffatte informazioni cui le autorità competenti nello Stato membro in cui l’entità è stabilita non hanno accesso. Le autorità competenti e i coordinatori dei dati dovrebbero essere identificati in un registro pubblico tenuto dalla Commissione. Il coordinatore dei dati potrebbe essere un ulteriore mezzo per agevolare la cooperazione in situazioni transfrontaliere, come quando un’autorità competente di un dato Stato membro non sa a quale autorità rivolgersi nello Stato membro del coordinatore, ad esempio qualora il caso riguardi più di un’autorità competente o di un settore. Il coordinatore dei dati dovrebbe fungere anche da punto di contatto unico per tutte le questioni relative all’applicazione del presente regolamento. Qualora non sia stato designato alcun coordinatore dei dati, l’autorità competente dovrebbe farsi carico dei compiti assegnati al coordinatore dei dati a norma del presente regolamento. Le autorità responsabili del controllo del rispetto del diritto in materia di protezione dei dati e le autorità competenti designate a norma del diritto dell’Unione o nazionale dovrebbero essere responsabili dell’applicazione del presente regolamento nei loro settori di competenza. Al fine di evitare conflitti di interesse, le autorità competenti responsabili dell’applicazione e dell’esecuzione del presente regolamento nel settore della messa a disposizione dei dati a seguito di una richiesta sulla base di necessità eccezionali non dovrebbero beneficiare del diritto di presentare tale richiesta.
(108) Al fine di far valere i loro diritti a norma del presente regolamento è opportuno che le persone fisiche e giuridiche abbiano il diritto di presentare ricorso in caso di violazione dei loro diritti a norma del presente regolamento, presentando reclami. Su richiesta, il coordinatore dei dati dovrebbe fornire tutte le informazioni necessarie alle persone fisiche e giuridiche per presentare reclami all’autorità competente appropriata. È opportuno che tali autorità siano obbligate a cooperare per garantire che un reclamo sia gestito in modo adeguato e risolto in modo efficace e tempestivo. Al fine di avvalersi del meccanismo della rete di cooperazione per la tutela dei consumatori e consentire azioni rappresentative, il presente regolamento modifica gli allegati del regolamento (UE) 2017/2394 del Parlamento europeo e del Consiglio (36) e la direttiva (UE) 2020/1828 del Parlamento europeo e del Consiglio (37) .
(109) Le autorità competenti dovrebbero garantire che le violazioni degli obblighi stabiliti dal presente regolamento siano oggetto di sanzioni. Tali sanzioni potrebbero tra l’altro includere sanzioni pecuniarie, avvertimenti, ammonimenti o ordini di conformare le pratiche commerciali agli obblighi imposti dal presente regolamento. Le sanzioni stabilite dagli Stati membri dovrebbero essere efficaci, proporzionate e dissuasive e dovrebbero tener conto delle raccomandazioni dell’EDIB, così da contribuire al raggiungimento del massimo livello possibile di coerenza nella definizione e nell’applicazione delle sanzioni. Se del caso, le autorità competenti dovrebbero ricorrere a misure provvisorie per limitare gli effetti di una presunta violazione mentre è in corso l’indagine su tale violazione. È opportuno che, nel farlo, tengano conto, tra l’altro, della natura, della gravità, dell’entità e della durata della violazione, alla luce dell’obiettivo di interesse generale perseguito, della portata e del tipo di attività svolte e della capacità economica dell’autore della violazione. Le suddette autorità competenti dovrebbero altresì considerare se l’autore della violazione non adempie sistematicamente o ripetutamente agli obblighi di cui al presente regolamento. Al fine di garantire il rispetto del principio del ne bis in idem e di evitare, in particolare, che per la stessa violazione degli obblighi stabiliti nel presente regolamento la pena sia irrogata più di una volta, ciascuno Stato membro che intenda esercitare la sua competenza nei confronti dell’autore della violazione che non è stabilito né ha designato un rappresentante legale nell’Unione, dovrebbe informarne senza indebito ritardo tutti i coordinatori dei dati, nonché la Commissione.
(110) L’EDIB dovrebbe fornire consulenza e assistenza alla Commissione nel coordinare le pratiche e le politiche nazionali sui temi contemplati dal presente regolamento come anche nel realizzarne gli obiettivi relativamente alla normazione tecnica al fine di migliorare l’interoperabilità. Dovrebbe altresì svolgere un ruolo chiave nell’agevolare discussioni globali tra le autorità competenti in merito all’applicazione e all’esecuzione del presente regolamento. Tale scambio di informazioni è inteso ad aumentare l’accesso effettivo alla giustizia nonché l’esecuzione e la cooperazione giudiziaria in tutta l’Unione. Tra le altre funzioni, le autorità competenti dovrebbero ricorrere all’EDIB quale piattaforma per valutare, coordinare e adottare raccomandazioni sulla definizione di sanzioni per le violazioni del presente regolamento. Il comitato europeo per l’innovazione in materia di dati dovrebbe consentire alle autorità competenti, con l’assistenza della Commissione, di coordinare l’approccio ottimale alla fissazione e irrogazione di dette sanzioni. Tale approccio evita la frammentazione, permettendo al contempo la flessibilità degli Stati membri, e dovrebbe portare a raccomandazioni efficaci che sostengano l’applicazione coerente del presente regolamento. L’EDIB dovrebbe altresì assumere un ruolo consultivo nei processi di normazione e nell’adozione di specifiche comuni sotto forma di atti di esecuzione, nell’adozione di atti delegati tesi ad istituire un meccanismo di controllo delle tariffe di passaggio imposte dai fornitori di servizi di trattamento dei dati e nello specificare ulteriormente i requisiti essenziali in materia di interoperabilità dei dati, dei meccanismi e i servizi di condivisione dei dati nonché degli spazi comuni europei di dati. Dovrebbe altresì fornire consulenza e assistenza alla Commissione nell’adozione degli orientamenti che stabiliscono specifiche di interoperabilità per il funzionamento degli spazi comuni europei di dati.
(111) Al fine di aiutare le imprese a redigere e negoziare contratti è opportuno che la Commissione elabori e raccomandi clausole contrattuali tipo non vincolanti per i contratti di condivisione dei dati tra imprese, tenendo conto, se necessario, delle condizioni in settori specifici e delle pratiche esistenti con meccanismi volontari di condivisione dei dati. Tali clausole contrattuali tipo dovrebbero essere principalmente uno strumento pratico per aiutare in particolare le PMI a concludere un contratto. Se utilizzate ampiamente e integralmente, tali clausole contrattuali tipo dovrebbero anche avere l’effetto positivo di influenzare l’elaborazione dei contratti per quanto riguarda l’accesso ai dati e il loro utilizzo e, pertanto, dovrebbero determinare in senso più ampio rapporti contrattuali più equi in sede di accesso ai dati e loro condivisione.
(112) Al fine di eliminare il rischio che i titolari di dati contenuti in banche di dati ottenuti o generati mediante componenti fisiche, quali sensori, di un prodotto connesso e di un servizio correlato o di altri dati generati automaticamente rivendichino il diritto «sui generis» di cui all’articolo 7 della direttiva 96/9/CE, ostacolando in tal modo in particolare l’effettivo esercizio del diritto degli utenti di accedere ai dati e di utilizzarli e del diritto di condividere i dati con terzi a norma del presente regolamento, si dovrebbe chiarire che il diritto «sui generis» non si applica a tali banche di dati. Ciò non pregiudica l’eventuale applicazione del diritto «sui generis» di cui all’articolo 7 della direttiva 96/9/CE alle banche di dati contenenti dati che non rientrano nell’ambito di applicazione del presente regolamento, purché siano soddisfatti i requisiti di tutela a norma del paragrafo 1 di tale articolo.
(113) Per tenere conto degli aspetti tecnici dei servizi di trattamento dei dati è opportuno delegare alla Commissione il potere di adottare atti conformemente all’articolo 290 TFUE riguardo all’integrazione del presente regolamento al fine di istituire un meccanismo di controllo delle tariffe di passaggio imposte dai fornitori di servizi di trattamento dei dati sul mercato, e di specificare ulteriormente i requisiti essenziali in materia di interoperabilità per i partecipanti agli spazi di dati che offrono dati o servizi di dati ad altri partecipanti. È di particolare importanza che durante i lavori preparatori la Commissione svolga adeguate consultazioni, anche a livello di esperti, nel rispetto dei principi stabiliti nell’accordo interistituzionale «Legiferare meglio» del 13 aprile 2016 (38) . In particolare, al fine di garantire la parità di partecipazione alla preparazione degli atti delegati, il Parlamento europeo e il Consiglio ricevono tutti i documenti contemporaneamente agli esperti degli Stati membri, e i loro esperti hanno sistematicamente accesso alle riunioni dei gruppi di esperti della Commissione incaricati della preparazione di tali atti delegati.
(114) È opportuno attribuire alla Commissione competenze di esecuzione al fine di garantire condizioni uniformi di esecuzione del presente regolamento per quanto riguarda l’adozione di specifiche comuni atte a garantire l’interoperabilità di dati, dei meccanismi e dei servizi di condivisione dei dati, nonché degli spazi comuni europei dei dati, specifiche comuni sull’interoperabilità dei servizi di trattamento dei dati, nonché specifiche comuni per i contratti intelligenti. È opportuno inoltre attribuire alla Commissione competenze di esecuzione ai fini della pubblicazione dei riferimenti delle norme armonizzate e delle specifiche comuni per l’interoperabilità dei servizi di trattamento dei dati in un archivio centrale dell’Unione delle norme per l’interoperabilità dei servizi di trattamento dei dati. È altresì opportuno che tali competenze siano esercitate conformemente al regolamento (UE) n. 182/2011 del Parlamento europeo e del Consiglio (39) .
(115) Il presente regolamento dovrebbe fare salve le norme relative alle esigenze specifiche di singoli settori o settori di interesse pubblico. Tali norme possono includere requisiti supplementari sugli aspetti tecnici dell’accesso ai dati, quali le interfacce per l’accesso ai dati, o sulle modalità di fornire accesso ai dati, ad esempio direttamente dal prodotto o tramite servizi di intermediazione dei dati. Tali norme possono anche includere limitazioni ai diritti dei titolari dei dati di accedere ai dati degli utenti o di utilizzarli, o altri aspetti che vanno oltre l’accesso ai dati e il loro utilizzo, come gli aspetti relativi alla governance o i requisiti di sicurezza, inclusi quelli relativi alla cibersicurezza. Il presente regolamento dovrebbe inoltre lasciare impregiudicate norme più specifiche nel contesto dello sviluppo di spazi comuni europei di dati oppure, fatte salve le eccezioni di cui al presente regolamento, il diritto dell’Unione e nazionale che dispongono l’accesso ai dati e ne autorizzano l’utilizzo a fini di ricerca scientifica.
(116) Il presente regolamento non dovrebbe incidere sull’applicazione delle norme in materia di concorrenza, in particolare gli articoli 101 e 102 TFUE. Le misure di cui al presente regolamento non dovrebbero essere utilizzate per limitare la concorrenza in contrasto con il TFUE.
(117) Al fine di consentire agli operatori rientranti nell’ambito di applicazione del presente regolamento di adeguarsi alle nuove norme ivi previste e di adottare le necessarie disposizioni tecniche, tali norme dovrebbero applicarsi a decorrere dal 12 settembre 2025.
(118) Conformemente all’articolo 42, paragrafi 1 e 2, del regolamento (UE) 2018/1725, il Garante europeo della protezione dei dati e il comitato europeo per la protezione dei dati sono stati consultati e hanno formulato il loro parere il 4 maggio 2022.
(119) Poiché gli obiettivi del presente regolamento, segnatamente garantire l’equità nella ripartizione del valore dei dati tra gli attori dell’economia dei dati e promuovere un accesso e un utilizzo equi dei dati al fine di contribuire all’istituzione di un vero mercato interno dei dati, non possono essere conseguiti in misura sufficiente dagli Stati membri ma, a motivo della portata e degli effetti dell’azione e dell’utilizzo transfrontaliero dei dati, possono essere conseguiti meglio a livello di Unione, quest’ultima può intervenire in base al principio di sussidiarietà sancito dall’articolo 5 del trattato sull’Unione europea. Il presente regolamento si limita a quanto è necessario per conseguire tali obiettivi in ottemperanza al principio di proporzionalità enunciato nello stesso articolo,