Vai al contenuto

Capo V — Messa a disposizione di dati a enti pubblici, Commissione, BCE e organismi dell'Unione per necessità eccezionali

Articolo 14 — Obbligo di mettere a disposizione i dati sulla base di necessità eccezionali

Qualora un ente pubblico, la Commissione, la Banca centrale europea o un organismo dell’Unione dimostri una necessità eccezionale, di cui all’articolo 15, di utilizzare taluni dati, ivi compresi i pertinenti metadati necessari per interpretare e utilizzare tali dati, per svolgere le proprie funzioni statutarie nell’interesse pubblico, i titolari dei dati che sono persone giuridiche diverse da enti pubblici e che detengono tali dati li mettono a disposizione su richiesta motivata.

Articolo 15 — Necessità eccezionale di utilizzare i dati

  1. Una necessità eccezionale di utilizzare determinati dati ai sensi del presente capo è limitata nel tempo e nella portata e si considera esistente esclusivamente in una delle circostanze seguenti:

    a) se i dati richiesti sono necessari per rispondere a un’emergenza pubblica e l’ente pubblico, la Commissione, la Banca centrale europea o l’organismo dell’Unione non può ottenere tali dati con mezzi alternativi in modo tempestivo ed efficace a condizioni equivalenti;

    b) in circostanze non contemplate dalla lettera a) e solo nella misura in cui si tratti di dati non personali qualora:

    i) un ente pubblico, la Commissione, la Banca centrale europea o un organismo dell’Unione agisca sulla base del diritto dell’Unione o nazionale e abbia individuato dati specifici la cui mancanza gli impedisce di svolgere un compito specifico svolto nell’interesse pubblico esplicitamente previsto dalla legge, quali la redazione di statistiche ufficiali, la mitigazione o la ripresa dopo un’emergenza pubblica; e

    ii) l’ente pubblico, la Commissione, la Banca centrale europea o l’organismo dell’Unione abbia esaurito tutti gli altri mezzi a sua disposizione per ottenere tali dati, compresi, l’acquisto dei dati sul mercato ai prezzi di mercato o il ricorso a obblighi vigenti in materia di messa a disposizione dei dati oppure l’adozione di nuove misure legislative che potrebbero garantire la tempestiva disponibilità dei dati.

  2. Il paragrafo 1, lettera b), non si applica alle microimprese e alle piccole imprese.

  3. L’obbligo di dimostrare che l’ente pubblico non ha potuto ottenere i dati non personali acquistandoli sul mercato non si applica quando il compito specifico svolto nell’interesse pubblico è la produzione di statistiche ufficiali e quando l’acquisto di tali dati non è autorizzato dal diritto nazionale.

Articolo 16 — Relazione con altri obblighi di mettere i dati a disposizione di enti pubblici, della Commissione, della Banca centrale europea e di organismi dell’Unione

  1. Il presente capo lascia impregiudicati gli obblighi previsti dalle normative dell’Unione o nazionali al fine di soddisfare le richieste di accesso a informazioni o della dimostrazione o verifica del rispetto degli obblighi di legge.

  2. Il presente capo non si applica a enti pubblici, alla Commissione, alla Banca centrale europea o a organismi dell’Unione che svolgono attività di prevenzione, indagine, accertamento o perseguimento di reati penali o amministrativi o di esecuzione di sanzioni penali, né all’amministrazione doganale o tributaria. Il presente capo non pregiudica il diritto dell’Unione e nazionale applicabile in materia di prevenzione, indagine, accertamento o perseguimento di reati penali o amministrativi o di esecuzione di sanzioni penali o amministrative, o in materia di amministrazione doganale o tributaria.

Articolo 17 — Richieste di messa a disposizione di dati

  1. Se richiede dati a norma dell’articolo 14, un ente pubblico, la Commissione, la Banca centrale europea o un organismo dell’Unione:

    a) specifica i dati richiesti, compresi i pertinenti metadati necessari per interpretare e utilizzare tali dati;

    b) dimostra che sono soddisfatte le condizioni necessarie perché sussista una necessità eccezionale di cui all’articolo 15 al cui fine sono richiesti i dati;

    c) spiega la finalità della richiesta, l’utilizzo previsto dei dati richiesti, compreso, se del caso, da parte di un terzo in conformità del paragrafo 4 del presente articolo, la durata di tale utilizzo e, se pertinente, le modalità con cui il trattamento dei dati personali risponderà alla necessità eccezionale;

    d) specifica, se possibile, quando si prevede che i dati siano cancellati da tutte le parti che vi hanno accesso;

    e) giustifica la scelta del titolare dei dati cui è rivolta la richiesta;

    f) specifica gli eventuali altri enti pubblici, o la Commissione, la Banca centrale europea o gli organismi dell’Unione e i terzi con i quali si prevede che saranno condivisi i dati richiesti;

    g) qualora siano richiesti dati personali, specifica le misure tecniche e organizzative necessarie e proporzionate per attuare i principi di protezione dei dati e le garanzie necessarie, quali la pseudonimizzazione, come anche la possibilità o meno, per il titolare dei dati, di applicare l’anonimizzazione prima di mettere i dati a disposizione;

    h) indica la disposizione legislativa che attribuisce all’ente pubblico richiedente, alla Commissione, alla Banca centrale europea o all’organismo dell’Unione lo specifico compito svolto nell’interesse pubblico pertinente per la richiesta dei dati;

    i) specifica il termine entro il quale i dati devono essere messi a disposizione e il termine di cui all’articolo 18, paragrafo 2, entro il quale il titolare dei dati può rifiutare o chiedere la modifica della richiesta;

    j) si adopera al meglio per evitare che il soddisfacimento della richiesta di dati comporti la responsabilità del titolare dei dati per violazione del diritto dell’Unione o nazionale.

  2. Una richiesta di dati presentata a norma del paragrafo 1 del presente articolo:

    a) è presentata per iscritto ed espressa in un linguaggio chiaro, conciso e semplice, comprensibile per il titolare dei dati;

    b) è specifica per quanto riguarda il tipo di dati richiesti e corrisponde ai dati su cui il titolare dei dati ha il controllo al momento della richiesta;

    c) è proporzionata alla necessità eccezionale e debitamente giustificata, per quanto riguarda la granularità e il volume dei dati richiesti e la frequenza di accesso ai dati richiesti;

    d) rispetta gli obiettivi legittimi del titolare dei dati, impegnandosi a rispettare la tutela dei segreti commerciali in conformità dell’articolo 19, paragrafo 3, e tenendo conto dei costi e degli sforzi necessari per mettere a disposizione i dati;

    e) riguarda dati non personali e, solo nel caso in cui sia dimostrato che ciò è insufficiente a rispondere alla necessità eccezionale di usare i dati, in conformità dell’articolo 15, paragrafo 1, lettera a), richiede dati personali in forma pseudominizzata e istituisce le misure tecniche e organizzative che saranno adottate per proteggere i dati;

    f) informa il titolare dei dati delle sanzioni che l’autorità competente designata ai sensi dell’articolo 37 impone a norma dell’articolo 40 in caso di mancato soddisfacimento della richiesta;

    g) qualora sia presentata da un ente pubblico, è trasmessa al coordinatore dei dati, di cui all’articolo 37, dello Stato membro in cui è stabilito l’ente pubblico richiedente, che mette la richiesta a disposizione del pubblico online senza indebito ritardo, a meno che ritenga che tale pubblicazione costituirebbe un rischio per la sicurezza pubblica;

    h) qualora la richiesta sia presentata dalla Commissione, dalla Banca centrale europea e da un organismo dell’Unione è resa disponibile al pubblico online senza indebito ritardo;

    i) qualora siano richiesti dati personali, è notificata senza indebito ritardo all’autorità di controllo responsabile di sorvegliare l’applicazione del regolamento (UE) 2016/679 nello Stato membro in cui l’ente pubblico è stabilito.

    La Banca centrale europea e gli organismi dell’Unione informano la Commissione delle loro richieste

  3. Un ente pubblico, la Commissione, la Banca centrale europea o un organismo dell’Unione non mette i dati ottenuti a norma del presente capo a disposizione per il riutilizzo ai sensi dell’articolo 2, punto 2), del regolamento (UE) 2022/868 o dell’articolo 2, punto 11), della direttiva (UE) 2019/1024. Il regolamento (UE) 2022/868 e la direttiva (UE) 2019/1024 non si applicano ai dati detenuti da enti pubblici ottenuti a norma del presente capo.

  4. Il paragrafo 3 del presente articolo non preclude a un ente pubblico, o alla Commissione, alla Banca centrale europea o a un organismo dell’Unione di scambiare i dati ottenuti a norma del presente capo con altri enti pubblici, la Commissione, la Banca centrale europea o un organismo dell’Unione al fine di svolgere i compiti di cui all’articolo 15, secondo quanto specificato nella richiesta a norma del paragrafo 1, lettera f ) del presente articolo, o di mettere i dati a disposizione di un terzo nei casi in cui abbia delegato a tale terzo, mediante un accordo accessibile al pubblico, ispezioni tecniche o altre funzioni. Gli obblighi incombenti agli enti pubblici a norma dell’articolo 19, in particolare le garanzie tese a preservare la riservatezza dei segreti commerciali, si applicano anche a detti terzi. Se trasmette o mette a disposizione dati a norma del presente paragrafo, un ente pubblico o la Commissione, la Banca centrale europea o un organismo dell’Unione ne informa senza indebito ritardo il titolare dei dati che li ha trasmessi.

  5. Se ritiene che i suoi diritti di cui al presente capo siano stati violati dalla trasmissione o dalla messa a disposizione dei dati, il titolare dei dati può presentare un reclamo all’autorità competente, designata ai sensi dell’articolo 37, dello Stato membro in cui è stabilito.

  6. La Commissione elabora un modello per le richieste a norma del presente articolo.

Articolo 18 — Soddisfacimento delle richieste di dati

  1. Il titolare dei dati che riceve una richiesta di mettere i dati a disposizione a norma del presente capo mette i dati a disposizione dell’ente pubblico o della Commissione, della Banca centrale europea o di un organismo dell’Unione richiedente senza indebito ritardo, tenendo conto delle misure tecniche, organizzative e giuridiche necessarie.

  2. Fatte salve le esigenze specifiche relative alla disponibilità dei dati definite nel diritto dell’Unione o nazionale, un titolare dei dati può rifiutare o chiedere la modifica di una richiesta di mettere i dati a disposizione ai sensi del presente capo senza indebito ritardo e, in ogni caso, entro cinque giorni lavorativi dal ricevimento di una richiesta di dati necessari per rispondere a un’emergenza pubblica e senza indebito ritardo e, in ogni caso, entro 30 giorni lavorativi dal ricevimento di tale richiesta in altri casi di necessità eccezionale, per uno dei motivi seguenti:

    a) il titolare dei dati non ha il controllo sui dati richiesti;

    b) un altro ente pubblico, o la Commissione, la Banca centrale europea o un organismo dell’Unione ha presentato in precedenza una richiesta analoga per la stessa finalità e al titolare dei dati non è stata notificata la cancellazione dei dati a norma dell’articolo 19, paragrafo 1, lettera c);

    c) la richiesta non soddisfa le condizioni di cui all’articolo 17, paragrafi 1 e 2.

  3. Se decide di rifiutare la richiesta o di chiederne la modifica a norma del paragrafo 2, lettera b), il titolare dei dati indica l’identità dell’ente pubblico o della Commissione, della Banca centrale europea o dell’organismo dell’Unione che ha presentato in precedenza una richiesta per la stessa finalità.

  4. Se l’insieme di dati richiesto include dati personali, il titolare dei dati anonimizza adeguatamente i dati, a meno che il soddisfacimento della richiesta di mettere i dati a disposizione di un ente pubblico, della Commissione, della Banca centrale europea o di un organismo dell’Unione imponga la divulgazione di dati personali. In tali casi il titolare dei dati pseudonimizza i dati .

  5. Se l’ente pubblico, la Commissione, la Banca centrale europea o l’organismo dell’Unione intende contestare il rifiuto del titolare dei dati di fornire i dati richiesti o se il titolare dei dati intende contestare la richiesta e la questione non può essere risolta mediante opportuna modifica della stessa, la questione è sottoposta all’autorità competente, designata ai sensi dell’articolo 37, dello Stato membro in cui è stabilito il titolare dei dati.

Articolo 19 — Obblighi degli enti pubblici, della Commissione, della Banca centrale europea e degli organismi dell’Unione

  1. Un ente pubblico, la Commissione, la Banca centrale europea o un organismo dell’Unione che riceve dati in seguito a una richiesta presentata a norma dell’articolo 14:

    a) non utilizza i dati in modo incompatibile con la finalità per la quale sono stati richiesti;

    b) ha attuato misure tecniche e organizzative che preservino la riservatezza e l’integrità dei dati richiesti e la sicurezza dei trasferimenti dei dati, in particolare dei dati personali, e tutelino i diritti e le libertà degli interessati;

    c) cancella i dati non appena non sono più necessari per la finalità indicata e informa il titolare dei dati e le persone o organizzazioni che hanno ricevuto i dati a norma dell’articolo 21, paragrafo 1, senza indebito ritardo dell’avvenuta cancellazione, a meno che l’archiviazione dei dati sia richiesta in conformità del diritto dell’Unione o nazionale in materia di accesso pubblico ai documenti nel contesto degli obblighi di trasparenza.

  2. Un ente pubblico, la Commissione, la Banca centrale europea, un organismo dell’Unione o un terzo che riceve dati a norma del presente capo:

    a) non usa i dati o le informazioni sulla situazione economica, sulle risorse e sui metodi di produzione o di funzionamento del titolare dei dati per sviluppare o migliorare un prodotto connesso o un servizio correlato in concorrenza con il prodotto connesso o il servizio correlato del titolare dei dati;

    b) non condivide i dati con un altro terzo per uno degli scopi di cui alla lettera a).

  3. La divulgazione di segreti commerciali a un ente pubblico, alla Commissione, alla Banca centrale europea o a un organismo dell’Unione è obbligatoria solo nella misura strettamente necessaria per conseguire lo scopo di una richiesta a norma dell’articolo 15. In tali casi, il titolare dei dati o, qualora non si tratti della stessa persona, il detentore del segreto commerciale individua i dati protetti quali segreti commerciali, compresi i pertinenti metadati. L’ente pubblico, la Commissione, la Banca centrale europea o l’organismo dell’Unione adotta, prima della divulgazione di segreti commerciali, tutte le misure tecniche e organizzative necessarie e adeguate per preservare la riservatezza dei segreti commerciali, ivi compreso, se del caso, l’uso di clausole contrattuali tipo, norme tecniche e l’applicazione di codici di condotta.

  4. Un ente pubblico, la Commissione la Banca centrale europea o un organismo dell’Unione è responsabile della sicurezza dei dati che riceve.

Articolo 20 — Compenso in casi di necessità eccezionale

  1. I titolari dei dati diversi dalle microimprese e piccole imprese mettono a disposizione a titolo gratuito i dati necessari per rispondere a un’emergenza pubblica a norma dell’articolo 15, paragrafo 1, lettera a). L’ente pubblico, la Commissione, la Banca centrale europea o l’organismo dell’Unione che ha ricevuto i dati fornisce un riconoscimento pubblico al titolare dei dati se richiesto da quest’ultimo.

  2. Il titolare dei dati ha diritto a un compenso equo per la messa a disposizione dei dati al fine di soddisfare una richiesta presentata a norma dell’articolo 15, paragrafo 1, lettera b). Tale compenso copre i costi tecnici e organizzativi sostenuti per soddisfare la richiesta, compresi, se del caso, i costi di anonimizzazione, pseudonimizzazione, aggregazione e di adattamento tecnico, e un margine ragionevole. Su richiesta dell’ente pubblico, della Commissione, della Banca centrale europea o dell’organismo dell’Unione, il titolare dei dati fornisce informazioni sulla base per il calcolo dei costi e del margine ragionevole.

  3. Il paragrafo 2 si applica anche quando una microimpresa e una piccola impresa chiedono un compenso per la messa a disposizione dei dati.

  4. I titolari dei dati non hanno diritto a un compenso per la messa a disposizione dei dati al fine di soddisfare una richiesta presentata a norma dell’articolo 15, paragrafo 1, lettera b), se il compito specifico svolto nell’interesse pubblico è la produzione di statistiche ufficiali e se il diritto nazionale non consente l’acquisto di dati. Se il diritto nazionale non consente l’acquisto di dati per la produzione di statistiche ufficiali, gli Stati membri lo notificano alla Commissione.

  5. Se l’ente pubblico, la Commissione, la Banca centrale europea o l’organismo dell’Unione è in disaccordo sul livello di compenso richiesto dal titolare dei dati, può presentare un reclamo all’autorità competente, designata ai sensi dell’articolo 37, dello Stato membro in cui il titolare dei dati è stabilito.

Articolo 21 — Condivisione dei dati ottenuti nel contesto di necessità eccezionali con organismi di ricerca o istituti statistici

  1. Un ente pubblico, la Commissione, la Banca centrale europea o un organismo dell’Unione ha il diritto di condividere i dati ricevuti a norma del presente capo:

    a) con persone o organizzazioni al fine di svolgere ricerche o analisi scientifiche compatibili con la finalità per la quale i dati sono stati richiesti; o

    b) con istituti nazionali di statistica ed Eurostat per la produzione di statistiche ufficiali.

  2. Le persone o le organizzazioni che ricevono i dati a norma del paragrafo 1 agiscono senza fini di lucro o nell’ambito di una missione di interesse pubblico riconosciuta dal diritto dell’Unione o nazionale. Tali organizzazioni non comprendono le organizzazioni su cui imprese commerciali esercitano un’influenza significativa che è probabile possa comportare un accesso preferenziale ai risultati della ricerca.

  3. Le persone o le organizzazioni che ricevono i dati a norma del paragrafo 1 del presente articolo rispettano gli stessi obblighi applicabili agli enti pubblici, alla Commissione, alla Banca centrale europea o agli organismi dell’Unione, a norma dell’articolo 17, paragrafo 3, e dell’articolo 19.

  4. Nonostante l’articolo 19, paragrafo 1, lettera c), le persone o le organizzazioni che ricevono i dati a norma del paragrafo 1 del presente articolo possono conservare i dati ricevuti per la finalità per la quale sono stati richiesti per un periodo massimo di sei mesi dalla loro cancellazione da parte degli enti pubblici, della Commissione, della Banca centrale europea e degli organismi dell’Unione.

  5. Se intende trasmettere o mettere a disposizione dati a norma del paragrafo 1 del presente articolo, un ente pubblico, la Commissione, la Banca centrale europea o un organismo dell’Unione informa in merito, senza indebito ritardo, il titolare dei dati che li ha trasmessi, indicando l’identità e i dati di contatto dell’organizzazione o della persona che riceve i dati, le finalità della trasmissione o della messa a disposizione dei dati, il periodo per il quale i dati devono essere utilizzati e le misure tecniche e organizzative di protezione adottate, compresi i casi in cui si tratta di dati personali o segreti commerciali. Se è in disaccordo con la trasmissione o la messa a disposizione dei dati, il titolare dei dati può presentare un reclamo all’autorità competente, designata ai sensi dell’articolo 37, dello Stato membro in cui è stabilito.

Articolo 22 — Assistenza reciproca e cooperazione transfrontaliera

  1. Gli enti pubblici, la Commissione, la Banca centrale europea e gli organismi dell’Unione cooperano e si assistono reciprocamente ai fini dell’attuazione coerente del presente capo.

  2. Tutti i dati scambiati nell’ambito dell’assistenza richiesta e fornita a norma del paragrafo 1 non sono utilizzati in maniera incompatibile con la finalità per la quale sono stati richiesti.

  3. Se intende presentare una richiesta di dati a un titolare dei dati stabilito in un altro Stato membro, l’ente pubblico lo notifica preventivamente all’autorità competente designata ai sensi dell’articolo 37 in tale Stato membro. Tale obbligo si applica anche alle richieste presentate dalla Commissione, dalla Banca centrale europea e dagli organismi dell’Unione. La richiesta è esaminata dall’autorità competente dello Stato membro in cui il titolare dei dati è stabilito.

  4. Dopo aver esaminato la richiesta alla luce dei requisiti di cui all’articolo 17, la pertinente autorità competente intraprende senza indebito ritardo una delle azioni seguenti:

    a) trasmette la richiesta al titolare dei dati e, se del caso, informa l’ente pubblico richiedente, la Commissione, la Banca centrale europea o l’organismo dell’Unione dell’eventuale necessità di cooperare con gli enti pubblici dello Stato membro in cui è stabilito il titolare dei dati al fine di ridurre l’onere amministrativo del titolare dei dati relativo al soddisfacimento della richiesta.;

    b) respinge la richiesta per motivi debitamente giustificati, conformemente al presente capo;

    L’ente pubblico richiedente, la Commissione, la Banca centrale europea e l’organismo dell’Unione tengono conto del parere e dei motivi della pertinente autorità competente, ai sensi del primo comma, prima di intraprendere qualsiasi ulteriore azione, come ripresentare la richiesta, se del caso.