Vai al contenuto

Capo II — Condivisione dei dati da impresa a consumatore e da impresa a impresa

Articolo 3 — Obbligo di rendere accessibili all’utente i dati del prodotto e dei servizi correlati

  1. I prodotti connessi sono progettati e fabbricati e i servizi correlati sono progettati e forniti in modo tale che i dati dei prodotti e dei servizi correlati, compresi i pertinenti metadati necessari a interpretare e utilizzare tali dati, siano, per impostazione predefinita, accessibili all’utente in modo facile, sicuro, gratuito, in un formato completo, strutturato, di uso comune e leggibile da dispositivo automatico e, ove pertinente e tecnicamente possibile, in modo diretto.

  2. Prima di concludere un contratto di acquisto, locazione o noleggio di un prodotto connesso, il venditore, il locatore o il noleggiante, che può essere il fabbricante, fornisce all’utente almeno le informazioni seguenti, in modo chiaro e comprensibile:

    a) il tipo, il formato e il volume stimato di dati del prodotto che il prodotto connesso può generare;

    b) se il prodotto connesso è in grado di generare dati in modo continuo e in tempo reale;

    c) se il prodotto connesso è in grado di archiviare dati sul dispositivo o su un server remoto, compresa, se del caso, la durata prevista della conservazione;

    d) il modo in cui l’utente può accedere a tali dati, reperirli o, se del caso, cancellarli, compresi i mezzi tecnici per farlo, nonché le condizioni d’uso e la qualità del servizio.

  3. Prima di concludere un contratto di fornitura di un servizio correlato, il fornitore di tale servizio correlato fornisce all’utente almeno le informazioni seguenti, in modo chiaro e comprensibile:

    a) la natura, il volume stimato e la frequenza di raccolta dei dati del prodotto che il potenziale titolare dei dati dovrebbe ottenere e, se del caso, le modalità con cui l’utente può accedere a tali dati o reperirli, comprese le modalità di archiviazione dei dati del potenziale titolare dei dati e la durata della loro conservazione;

    b) la natura e il volume stimato dei dati di un servizio correlato che saranno generati, nonché le modalità con cui l’utente può accedere a tali dati o reperirli, comprese le modalità di archiviazione dei dati del potenziale titolare dei dati e la durata della conservazione;

    c) se il potenziale titolare dei dati prevede di utilizzare esso stesso i dati prontamente disponibili e le finalità per le quali tali dati saranno utilizzati e se intende consentire a uno o più terzi di utilizzare i dati per le finalità concordate con l’utente;

    d) l’identità del potenziale titolare dei dati, ad esempio il suo nome commerciale e l’indirizzo geografico al quale è stabilito e, se del caso, di altre parti coinvolte nel trattamento dei dati;

    e) i mezzi di comunicazione che consentono di contattare rapidamente il potenziale titolare dei dati e di comunicare efficacemente con quest’ultimo;

    f) il modo in cui l’utente può chiedere che i dati siano condivisi con terzi e, se del caso, porre fine alla condivisione dei dati;

    g) il diritto dell’utente di presentare un reclamo per violazione delle disposizioni del presente capo all’autorità competente designata a norma dell’articolo 37;

    h) se un potenziale titolare dei dati è il detentore di segreti commerciali contenuti nei dati accessibili dal prodotto connesso o generati nel corso della fornitura di un servizio correlato e, qualora il potenziale titolare dei dati non sia il detentore di segreti commerciali, l’identità del detentore del segreto commerciale;

    i) la durata del contratto tra l’utente e il potenziale titolare dei dati, nonché le modalità per risolvere tale contratto.

Articolo 4 — Diritti e obblighi degli utenti e dei titolari dei dati per l’accesso, l’utilizzo e la messa a disposizione dei dati del prodotto e del servizio correlato

  1. Qualora l’utente non possa accedere direttamente ai dati a partire dal prodotto connesso o dal servizio correlato, i titolari dei dati mettono prontamente a disposizione dell’utente i dati, nonché i pertinenti metadati necessari per interpretare e utilizzare tali dati senza indebito ritardo, con la stessa qualità di cui dispone il titolare dei dati, in modo facile, sicuro, gratuitamente, in un formato completo, strutturato, di uso comune e leggibile da dispositivo automatico e, ove pertinente e tecnicamente possibile, modo continuo e in tempo reale. Ciò avviene sulla base di una semplice richiesta mediante mezzi elettronici, ove tecnicamente fattibile.

  2. Gli utenti e i titolari dei dati possono limitare o vietare contrattualmente l’accesso ai dati, il loro uso o la loro ulteriore condivisione nel caso in cui tale trattamento possa compromettere i requisiti di sicurezza del prodotto connesso, come previsto dal diritto dell’Unione o nazionale, e comportare gravi effetti negativi per la salute, la sicurezza o la protezione delle persone fisiche. Le autorità settoriali possono fornire agli utenti e ai titolari dei dati competenze tecniche in tale contesto. Qualora rifiuti di condividere i dati ai sensi del presente articolo, il titolare dei dati notifica l’autorità competente designata ai sensi dell’articolo 37.

  3. Fatto salvo il diritto dell’utente di presentare ricorso in qualsiasi momento dinanzi a un organo giurisdizionale di uno Stato membro, in caso di eventuale controversia con il titolare dei dati relativamente a limitazioni o divieti contrattuali di cui al paragrafo 2 l’utente può:

    a) presentare, conformemente all’articolo 37, paragrafo 5, lettera b), un reclamo all’autorità competente; o

    b) convenire con il titolare dei dati di deferire la questione a un organismo di risoluzione delle controversie in conformità dell’articolo 10, paragrafo 1.

  4. I titolari dei dati non rendono indebitamente difficile l’esercizio delle scelte o dei diritti degli utenti a norma del presente articolo, ad esempio offrendo loro scelte in modo non neutrale o compromettendo o pregiudicando l’autonomia, il processo decisionale o le scelte dell’utente attraverso la struttura, la progettazione, le funzioni o il funzionamento di un’interfaccia utente digitale o di una sua parte.

  5. Al fine di verificare se una persona fisica o giuridica si possa considerare un utente ai fini del paragrafo 1, un titolare dei dati non impone a tale persona di fornire informazioni al di là di quanto necessario . I titolari dei dati non conservano informazioni, in particolare dati di registro, sull’accesso dell’utente ai dati richiesti al di là di quanto necessario per la corretta esecuzione della richiesta di accesso dell’utente e per la sicurezza e la manutenzione dell’infrastruttura di dati.

  6. I segreti commerciali sono conservati e comunicati solo a condizione che prima della comunicazione il titolare dei dati e l’utente adottino tutte le misure necessarie per tutelarne la riservatezza, in particolare rispetto a terzi. Il titolare dei dati o, qualora non si tratti della stessa persona, il detentore del segreto commerciale individua i dati protetti quali segreti commerciali, anche nei pertinenti metadati, e concorda con l’utente le misure tecniche e organizzative proporzionate necessarie a preservare la riservatezza dei dati condivisi, in particolare rispetto a terzi, quali clausole contrattuali tipo, accordi di riservatezza, protocolli di accesso rigorosi, norme tecniche e l’applicazione di codici di condotta.

  7. In assenza di accordo sulle misure necessarie di cui al paragrafo 6 o qualora l’utente non attui le misure concordate a norma del paragrafo 6 o pregiudichi la riservatezza dei segreti commerciali, il titolare dei dati può bloccare o, se del caso, sospendere la condivisione dei dati identificati come segreti commerciali. La decisione del titolare dei dati è debitamente motivata e fornita all’utente per iscritto e senza indebito ritardo. In tali casi il titolare dei dati notifica all’autorità competente designata a norma dell’articolo 37 di aver bloccato o sospeso la condivisione dei dati e indica quali misure non sono state concordate o attuate e, se del caso, di quali segreti commerciali è stata pregiudicata la riservatezza.

  8. In circostanze eccezionali, qualora il titolare dei dati che è detentore di un segreto commerciale possa dimostrare che subirà molto probabilmente gravi danni economici a causa della divulgazione di segreti commerciali, malgrado le misure tecniche e organizzative adottate dall’utente a norma del paragrafo 6 del presente articolo, detto titolare dei dati può rifiutare di volta in volta una richiesta di accesso ai dati specifici in questione. Tale dimostrazione è debitamente motivata sulla base di elementi oggettivi, in particolare l’applicabilità della protezione dei segreti commerciali in paesi terzi, la natura e il livello di riservatezza dei dati richiesti nonché l’unicità e la novità del prodotto connesso, ed è fornita per iscritto all’utente e senza indebito ritardo. Qualora rifiutasse di condividere i dati ai sensi del presente paragrafo, il titolare dei dati notifica l’autorità competente designata a norma dell’articolo 37.

  9. Fatto salvo il diritto di un utente di presentare ricorso in qualsiasi momento dinanzi a un organo giurisdizionale di uno Stato membro, un utente che intenda contestare la decisione di un titolare dei dati di rifiutare, o di bloccare o sospendere la condivisione di dati a norma dei paragrafi 7 e 8 può:

    a) presentare, conformemente all’articolo 37, paragrafo 5, lettera b), un reclamo all’autorità competente che decide senza indebito ritardo se e a quali condizioni debba iniziare o riprendere la condivisione dei dati; o

    b) convenire con il titolare dei dati di deferire la questione a un organismo di risoluzione delle controversie in conformità dell’articolo 10, paragrafo 1.

  10. L’utente non utilizza i dati ottenuti in seguito a una richiesta di cui al paragrafo 1 per sviluppare un prodotto connesso in concorrenza con il prodotto connesso da cui provengono i dati, né li condivide con un terzo con tale intenzione e non utilizza tali dati per ottenere informazioni sulla situazione economica, sulle risorse e sui metodi di produzione del fabbricante o, se applicabile, del titolare dei dati.

  11. L’utente non utilizza mezzi coercitivi né abusa di lacune nell’infrastruttura tecnica del titolare dei dati destinata a proteggere i dati al fine di ottenere l’accesso agli stessi.

  12. Se l’utente non è l’interessato i cui dati personali sono richiesti, i dati personali generati dall’uso di un prodotto connesso o di un servizio correlato sono messi a disposizione dell’utente dal titolare dei dati solo se esiste una valida base giuridica del trattamento a norma dell’articolo 6 del regolamento (UE) 2016/679 e, ove pertinente, se sono soddisfatte le condizioni di cui all’articolo 9 di detto regolamento e all’articolo 5, paragrafo 3, della direttiva 2002/58/CE.

  13. Un titolare dei dati utilizza eventuali dati non personali prontamente disponibili solo sulla base di un contratto stipulato con l’utente. Un titolare dei dati non utilizza tali dati per ottenere informazioni sulla situazione economica, sulle risorse e sui metodi di produzione dell’utente, o sull’utilizzo da parte di quest’ultimo in qualsiasi altro modo che potrebbe compromettere la sua posizione commerciale sui mercati in cui l’utente è attivo.

  14. I titolari dei dati non mettono a disposizione di terzi i dati non personali del prodotto a fini commerciali o non commerciali diversi dall’esecuzione del loro contratto con l’utente. Se del caso, i titolari dei dati vincolano contrattualmente i terzi a non condividere ulteriormente i dati da essi ricevuti.

Articolo 5 — Diritto dell’utente di condividere i dati con terzi

  1. Su richiesta di un utente, o di una parte che agisce per conto di un utente, il titolare dei dati mette a disposizione di terzi i dati prontamente disponibili, nonché i pertinenti metadati necessari a interpretare e utilizzare tali dati, senza indebito ritardo, con la stessa qualità di cui dispone il titolare dei dati, in modo facile, sicuro, a titolo gratuito per l’utente, in un formato completo, strutturato, di uso comune e leggibile da dispositivo automatico e, ove pertinente e tecnicamente possibile, in modo continuo e in tempo reale. I dati sono messi a disposizione del terzo dal titolare dei dati in conformità degli articoli 8 e 9.

  2. Il paragrafo 1 non si applica ai dati prontamente disponibili nel contesto del collaudo di nuovi prodotti connessi, sostanze o processi non ancora immessi sul mercato a meno che il loro utilizzo da parte di terzi non sia autorizzato contrattualmente.

  3. Qualsiasi impresa designata come gatekeeper a norma dell’articolo 3 del regolamento (UE) 2022/1925 non è un terzo ammissibile ai sensi del presente articolo e pertanto:

    a) non sollecita né fornisce incentivi commerciali all’utente in qualsiasi modo, anche fornendo compensi pecuniari o di altro tipo, affinché metta i dati a disposizione di uno dei suoi servizi che l’utente ha ottenuto in seguito a una richiesta a norma dell’articolo 4, paragrafo 1;

    b) non sollecita né fornisce incentivi commerciali all’utente affinché chieda al titolare dei dati di mettere i dati a disposizione di uno dei suoi servizi a norma del paragrafo 1 del presente articolo;

    c) non riceve dall’utente dati che quest’ultimo ha ottenuto in seguito a una richiesta a norma dell’articolo 4, paragrafo 1.

  4. Al fine di verificare se una persona fisica o giuridica si possa considerare un utente o un terzo ai fini del paragrafo 1, l’utente o il terzo non è tenuto a fornire informazioni al di là di quanto necessario . I titolari dei dati non conservano informazioni sull’accesso del terzo ai dati richiesti al di là di quanto necessario per la corretta esecuzione della richiesta di accesso del terzo e per la sicurezza e la manutenzione dell’infrastruttura di dati.

  5. Il terzo non utilizza mezzi coercitivi né abusa di lacune nell’infrastruttura tecnica di un titolare dei dati destinata a proteggere i dati al fine di ottenere l’accesso ai dati.

  6. Un titolare dei dati non utilizza dati prontamente disponibili per ottenere informazioni sulla situazione economica, sulle risorse e sui metodi di produzione del terzo, o sull’utilizzo da parte di quest’ultimo in qualsiasi altro modo che potrebbe compromettere la posizione commerciale del terzo sui mercati in cui è attivo, a meno che quest’ultimo non abbia autorizzato tale uso e abbia la possibilità tecnica di revocare facilmente tale autorizzazione in qualsiasi momento.

  7. Se l’utente non è l’interessato i cui dati personali sono richiesti, i dati personali generati dall’uso di un prodotto connesso o di un servizio correlato, sono messi a disposizione del terzo dal titolare dei dati solo se esiste una valida base giuridica per il trattamento a norma dell’articolo 6 del regolamento (UE) 2016/679 e, ove pertinente, se sono soddisfatte le condizioni di cui all’articolo 9 di detto regolamento e all’articolo 5, paragrafo 3, della direttiva 2002/58/CE.

  8. La mancanza di accordo, da parte del titolare dei dati e del terzo, sulle modalità per la trasmissione dei dati non ostacola, impedisce o interferisce con l’esercizio dei diritti dell’interessato a norma del regolamento (UE) 2016/679 e, in particolare, con il diritto alla portabilità dei dati di cui all’articolo 20 di tale regolamento.

  9. I segreti commerciali sono conservati e comunicati a terzi solo nella misura in cui tale divulgazione è strettamente necessaria per conseguire la finalità concordata tra l’utente e il terzo. Il titolare dei dati o, qualora non si tratti della stessa persona, il detentore del segreto commerciale individua i dati protetti quali segreti commerciali, anche nei pertinenti metadati, e concorda con il terzo le misure tecniche e organizzative proporzionate necessarie a preservare la riservatezza dei dati condivisi, quali clausole contrattuali tipo, accordi di riservatezza, protocolli di accesso rigorosi, norme tecniche e l’applicazione di codici di condotta.

  10. In assenza di accordo sulle misure necessarie di cui al paragrafo 9 del presente articolo o qualora il terzo non attui le misure concordate ai sensi del paragrafo 9 del presente articolo o pregiudichi la riservatezza dei segreti commerciali, il titolare dei dati può bloccare o, se del caso, sospendere la condivisione dei dati identificati come segreti commerciali. La decisione del titolare dei dati è debitamente motivata e fornita al terzo per iscritto e senza indebito ritardo. In tali casi il titolare dei dati notifica all’autorità competente designata a norma dell’articolo 37 di aver bloccato o sospeso la condivisione dei dati e indica quali misure non sono state concordate o attuate e, se del caso, di quali segreti commerciali è stata pregiudicata la riservatezza.

  11. In circostanze eccezionali, qualora il titolare dei dati che è detentore di un segreto commerciale possa dimostrare che subirà molto probabilmente gravi danni economici a causa della divulgazione di segreti commerciali, malgrado le misure tecniche e organizzative adottate dal terzo di cui al paragrafo 9 del presente articolo, tale titolare dei dati può rifiutare di volta in volta una richiesta di accesso ai dati specifici in questione. Tale dimostrazione è debitamente motivata sulla base di elementi oggettivi, in particolare l’applicabilità della protezione dei segreti commerciali in paesi terzi, la natura e il livello di riservatezza dei dati richiesti nonché l’unicità e la novità del prodotto connesso, ed è fornita per iscritto al terzo senza indebito ritardo. Qualora rifiuti di condividere i dati ai sensi del presente paragrafo, il titolare dei dati notifica l’autorità competente designata a norma dell’articolo 37.

  12. Fatto salvo il diritto del terzo di presentare ricorso in qualsiasi momento dinanzi a un organo giurisdizionale di uno Stato membro, un terzo che intenda contestare la decisione del titolare dei dati di rifiutare, o di bloccare o sospendere la condivisione di dati a norma dei paragrafi 10 e 11 può:

    a) presentare, conformemente all’articolo 37, paragrafo 5, lettera b), un reclamo all’autorità competente che decide senza indebito ritardo se e a quali condizioni debba iniziare o riprendere la condivisione dei dati; o

    b) convenire con il titolare dei dati di deferire la questione a un organismo di risoluzione delle controversie in conformità dell’articolo 10, paragrafo 1.

  13. Il diritto di cui al paragrafo 1 non deve ledere i diritti degli interessati a norma del diritto dell’Unione e nazionale applicabile in materia di protezione dei dati personali.

Articolo 6 — Obblighi dei terzi che ricevono dati su richiesta dell’utente

  1. Un terzo tratta i dati messi a sua disposizione a norma dell’articolo 5 solo per le finalità e alle condizioni concordate con l’utente e fatti salvi il diritto dell’Unione e nazionale in materia di protezione dei dati personali compresi i diritti dell’interessato per quanto riguarda i dati personali. Il terzo cancella i dati quando non sono più necessari per la finalità concordata, salvo diverso accordo con l’utente relativamente ai dati non personali.

  2. Il terzo:

    a) non rende indebitamente difficile l’esercizio da parte dell’utente delle scelte o dei diritti a norma dell’articolo 5 e del presente articolo, magari offrendogli scelte in modo non neutrale, o ricorrendo a mezzi coercitivi, ingannevoli o manipolatori nei suoi confronti, o compromettendone o pregiudicandone l’autonomia, il processo decisionale o le scelte, anche mediante un’interfaccia utente digitale o una sua parte;

    b) fatto salvo l’articolo 22, paragrafo 2, lettere a) e c), del regolamento (UE) 2016/679, non utilizza i dati che riceve per la profilazione, a meno che ciò non sia necessario per fornire il servizio richiesto dall’utente;

    c) non mette a disposizione di altri terzi i dati che riceve, a meno che i dati siano messi a disposizione sulla base di un contratto con l’utente e a condizione che l’altro terzo adotti tutte le misure necessarie concordate tra il titolare dei dati e il terzo per preservare la riservatezza dei segreti commerciali;

    d) non mette i dati che riceve a disposizione di un’impresa designata come gatekeeper a norma dell’articolo 3 del regolamento (UE) 2022/1925;

    e) non utilizza i dati che riceve per sviluppare un prodotto in concorrenza con il prodotto connesso da cui provengono i dati consultati né condivide i dati con un altro terzo a tal fine; i terzi non utilizzano inoltre alcun dato non personale del prodotto o di un servizio correlato messo a loro disposizione per ottenere informazioni sulla situazione economica, sulle risorse e sui metodi di produzione del titolare dei dati o sull’utilizzo da parte di quest’ultimo;

    f) non utilizza i dati che riceve in modo tale da avere un impatto negativo sulla sicurezza del prodotto connesso o del servizio correlato;

    g) non disattende le misure specifiche concordate con il titolare dei dati o con il detentore dei segreti commerciali a norma dell’articolo 5, paragrafo 9, né pregiudica la riservatezza dei segreti commerciali;

    h) non impedisce all’utente che è anche consumatore, neanche in base a un contratto, di mettere i dati che riceve a disposizione di altre parti.

Articolo 7 — Ambito di applicazione degli obblighi di condivisione dei dati da impresa a consumatore e da impresa a impresa

  1. Gli obblighi di cui al presente capo non si applicano ai dati generati dall’uso di prodotti connessi fabbricati o progettati da una microimpresa o da una piccola impresa o di servizi correlati forniti dalle medesime, a condizione che tali imprese non abbiano un’impresa associata o un’impresa collegata, a norma dell’articolo 3 dell’allegato della raccomandazione 2003/361/EC, che non è qualificata come microimpresa o piccola impresa, e qualora alla microimpresa e alla piccola impresa siano affidate in subappalto la fabbricazione o la progettazione di un prodotto o la fornitura di un servizio correlato.

    Lo stesso si applica ai dati generati dall’uso di prodotti connessi fabbricati, o di servizi correlati forniti, da un’impresa qualificata come media impresa ai sensi dell’articolo 2 dell’allegato della raccomandazione 2003/361/EC da meno di un anno e ai prodotti connessi per un anno dopo la data in cui sono stati immessi sul mercato da una media impresa.

  2. Qualsiasi clausola contrattuale che, a danno dell’utente, escluda l’applicazione dei diritti dell’utente a norma del presente capo, deroghi agli stessi o ne modifichi gli effetti non è vincolante per l’utente.