Vai al contenuto

Capo VI — Passaggio tra servizi di trattamento dei dati

Articolo 23 — Eliminare gli ostacoli all’effettivo passaggio

I fornitori di servizi di trattamento dei dati adottano le misure di cui agli articoli 25, 26, 27, 29 e 30 per consentire ai clienti di passare a un servizio di trattamento dei dati, che copre lo stesso tipo di servizio ed è fornito da un diverso fornitore di servizi di trattamento dei dati, o a un’infrastruttura TIC locale, o, se del caso, di utilizzare più fornitori di servizi di trattamento dei dati contemporaneamente. I fornitori di servizi di trattamento dei dati non impongono ed eliminano in particolare gli ostacoli pre-commerciali, commerciali, tecnici, contrattuali e organizzativi che impediscono ai clienti di:

a) risolvere, dopo il termine massimo di preavviso e il completamento positivo del processo di passaggio, conformemente all’articolo 25, il contratto del servizio di trattamento dei dati;

b) concludere nuovi contratti con un altro fornitore di servizi di trattamento dei dati che coprono lo stesso tipo di servizio;

c) trasferire i dati esportabili del cliente e risorse digitali a un diverso fornitore di servizi di trattamento dei dati o a un’infrastruttura TIC locale, anche dopo aver beneficiato di un’offerta gratuita;

d) conformemente all’articolo 24, conseguire l’equivalenza funzionale nell’utilizzo del nuovo servizio di trattamento dei dati nell’ambiente informatico di un altro fornitore di servizi di trattamento dei dati che copre il servizio equivalente;

e) disaggregare, ove tecnicamente fattibile, i servizi di trattamento dei dati di cui all’articolo 30, paragrafo 1, da altri servizi di trattamento dei dati forniti dal fornitore di servizi di trattamento dei dati.

Articolo 24 — Portata degli obblighi tecnici

Le responsabilità dei fornitori di servizi di trattamento dei dati, quali definite agli articoli 23, 25, 29, 30 e 34, si applicano solo ai servizi, ai contratti o alle pratiche commerciali forniti dal fornitore di servizi di trattamento dei dati di origine.

Articolo 25 — Clausole contrattuali relative al passaggio

  1. I diritti del cliente e gli obblighi del fornitore di servizi di trattamento dei dati in relazione al passaggio da un fornitore di tali servizi a un altro o, se del caso, a un’infrastruttura TIC locale sono chiaramente definiti in un contratto scritto. Il fornitore di servizi di trattamento dei dati mette il contratto a disposizione del cliente prima della firma del contratto in modo da consentire al cliente di conservare e riprodurre il contratto.

  2. Fatta salva la direttiva (UE) 2019/770, il contratto di cui al paragrafo 1 del presente articolo comprende almeno i seguenti elementi:

    a) clausole che autorizzano il cliente, su richiesta, a passare a un servizio di trattamento dei dati offerto da un diverso fornitore di servizi di trattamento dei dati o a trasferire tutti i dati, e le risorse digitali esportabili in un’infrastruttura TIC locale, senza indebito ritardo e in ogni caso non oltre un periodo transitorio massimo obbligatorio di 30 giorni di calendario da far partire dopo il termine massimo di preavviso di cui alla lettera d), durante il quale il contratto di servizio resta applicabile e il fornitore di servizi di trattamento dei dati:

    i) fornisce un’assistenza ragionevole al cliente e ai terzi da questi autorizzati nel processo di passaggio;

    ii) agisce con la diligenza dovuta per mantenere la continuità operativa e prosegue la fornitura delle funzioni o dei rispettivi servizi nell’ambito del contratto;

    iii) fornisce informazioni chiare sui rischi noti per la continuità della fornitura delle funzioni o dei servizi da parte del fornitore di servizi di trattamento dei dati di origine;

    iv) garantisce il mantenimento di un elevato livello di sicurezza durante l’intero processo di passaggio, in particolare la sicurezza dei dati durante il loro trasferimento e la continuità della sicurezza dei dati durante il periodo di conservazione di cui alla lettera g), in conformemente al diritto dell’Unione o nazionale applicabile;

    b) l’obbligo per il fornitore di servizi di trattamento dei dati di sostenere la strategia di uscita del cliente in relazione ai servizi a contratto, anche fornendo tutte le informazioni pertinenti;

    c) una clausola in cui si specifica che il contratto si considera risolto e che la risoluzione è notificata al cliente in uno dei seguenti casi:

    i) ove applicabile, una volta completato con successo il processo di passaggio;

    ii) alla fine del termine massimo di preavviso di cui alla lettera d), nel caso in cui il cliente non desideri passare a un altro fornitore ma cancellare i suoi dati esportabili e le sue risorse digitali al momento della cessazione del servizio;

    d) un termine massimo di preavviso per l’avvio del processo di passaggio, non superiore a due mesi;

    e) un’indicazione specifica dettagliata di tutte le categorie di dati e risorse digitali che possono essere trasferite durante il processo di passaggio, compresi almeno tutti i dati esportabili;

    f) un’indicazione specifica dettagliata delle categorie di dati specifiche al funzionamento interno dei servizi di trattamento dei dati del fornitore che devono essere esentate dai dati esportabili di cui alla lettera e) del presente paragrafo qualora esista un di rischio di violazione dei segreti commerciali del fornitore; a condizione che tali esenzioni non ostacolino o ritardino il processo di passaggio di cui all’articolo 23;

    g) un periodo minimo di almeno 30 giorni di calendario per il recupero dei dati, a decorrere dalla fine del periodo transitorio concordato tra il cliente e il fornitore di servizi di trattamento dei dati, conformemente alla lettera a) del presente paragrafo e al paragrafo 4;

    h) una clausola che garantisce la completa cancellazione di tutti i dati e a risorse digitali esportabili generati direttamente dal cliente, o che lo riguardano direttamente, dopo la scadenza del periodo di cui alla lettera g) o dopo la scadenza di un periodo alternativo concordato che sia successiva alla data di scadenza del periodo di conservazione di cui alla lettera g), a condizione che il processo di passaggio sia stato completato con successo;

    i) le tariffe di passaggio che possono essere imposte dai fornitori di servizi di trattamento dei dati a norma dell’articolo 29.

  3. Il contratto, di cui al paragrafo 1, include le clausole in virtù delle quali il cliente può notificare al fornitore di servizi di trattamento dei dati la sua decisione di eseguire una o più delle azioni seguenti al termine del periodo di preavviso massimo, di cui al paragrafo 2, lettera d):

    a) passare a un diverso fornitore di servizi di trattamento dei dati, nel qual caso il cliente fornisce le informazioni necessarie su tale fornitore;

    b) passare a un’infrastruttura TIC locale;

    c) cancellare i suoi dati esportabili e le sue risorse digitali.

  4. Se è tecnicamente impossibile attuare il periodo transitorio massimo obbligatorio di cui al paragrafo 2, lettera a), il fornitore di servizi di trattamento dei dati informa in merito il cliente entro 14 giorni lavorativi dalla presentazione della richiesta di passaggio, motiva debitamente l’impossibilità tecnica e indica un periodo transitorio alternativo, che non supera i sette mesi. In conformità del paragrafo 1, la continuità del servizio è garantita per tutto il periodo transitorio alternativo.

  5. Fatto salvo il paragrafo 4, il contratto di cui al paragrafo 1, include clausole che conferiscono al cliente il diritto di prorogare il periodo transitorio una volta, per un periodo che il cliente considera più appropriato per i propri fini.

Articolo 26 — Obbligo di informazione per i fornitori di servizi di trattamento dei dati

Il fornitore di servizi di trattamento dei dati fornisce al cliente:

a) informazioni sulle procedure disponibili per il passaggio e la portabilità al servizio di trattamento dei dati, comprese informazioni sui metodi e i formati di passaggio e di portabilità disponibili, nonché sulle restrizioni e le limitazioni tecniche note al fornitore di servizi di trattamento dei dati;

b) un riferimento a un registro online aggiornato ospitato dal fornitore di servizi di trattamento dei dati, con informazioni dettagliate su tutte le strutture e i formati dei dati nonché le norme pertinenti e le specifiche di interoperabilità aperte, in cui devono essere disponibili i dati esportabili di cui all’articolo 24, paragrafo 2, lettera e).

Articolo 27 — Obbligo di buona fede

Tutte le parti interessate, inclusi i fornitori di servizi di trattamento dei dati di destinazione, cooperano in buona fede per rendere efficace il processo di passaggio, consentire il trasferimento tempestivo dei dati e mantenere la continuità del servizio di trattamento dei dati.

Articolo 28 — Obblighi contrattuali di trasparenza in materia di accesso e trasferimento internazionali

  1. I fornitori di servizi di trattamento dei dati mettono a disposizione sui loro siti web e mantengono aggiornate le seguenti informazioni:

    a) la giurisdizione cui è soggetta l’infrastruttura TIC utilizzata per il trattamento dei dati dei loro servizi individuali;

    b) una descrizione generale delle misure tecniche, organizzative e contrattuali adottate dal fornitore di servizi di trattamento dei dati al fine di impedire l’accesso governativo internazionale ai dati non personali detenuti nell’Unione o il loro trasferimento nei casi in cui tale accesso o trasferimento creerebbe un conflitto con il diritto dell’Unione o con il diritto nazionale dello Stato membro interessato.

  2. I siti web di cui al paragrafo 1 sono elencati nei contratti per tutti i servizi di trattamento dei dati offerti dai fornitori di tali servizi.

Articolo 29 — Abolizione graduale delle tariffe di passaggio

  1. A decorrere dal 12 gennaio 2027, i fornitori di servizi di trattamento dei dati non impongono al cliente tariffe di passaggio per il processo di passaggio ad altri fornitori.

  2. A decorrere dall’11 gennaio 2024 e fino al 12 gennaio 2027, i fornitori di servizi di trattamento dei dati possono imporre al cliente tariffe di passaggio ridotte per il passaggio ad altri fornitori.

  3. Le tariffe di passaggio ridotte di cui al paragrafo 2 non sono superiori ai costi direttamente connessi al pertinente processo di passaggio sostenuti dal fornitore di servizi di trattamento dei dati.

  4. Prima di stipulare un contratto con un cliente, i fornitori di servizi di trattamento dei dati forniscono al potenziale cliente informazioni chiare sulle spese standard di servizio e sulle sanzioni che potrebbero essere imposte in caso di risoluzione anticipata, nonché sulle tariffe di passaggio ridotte, che potrebbero essere applicate durante il periodo di cui al paragrafo 2.

  5. Se del caso, i fornitori di servizi di trattamento dei dati forniscono informazioni a un cliente sui servizi di trattamento dei dati che comportano un passaggio altamente complesso o costoso o per i quali è impossibile effettuare il passaggio senza significative interferenze nell’architettura dei dati, delle risorse digitali o dei servizi.

  6. Se del caso, i fornitori di servizi di trattamento dei dati mettono le informazioni, di cui al paragrafo 4 e 5, a disposizione dei clienti attraverso una sezione dedicata del proprio sito web o in qualsiasi altro modo facilmente accessibile.

  7. Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 45 per integrare il presente regolamento istituendo un meccanismo di controllo che le consenta di monitorare le tariffe di passaggio imposte dai fornitori di servizi di trattamento dei dati sul mercato al fine di garantire che l’abolizione e la riduzione delle tariffe di passaggio, a norma dei paragrafi 1 e 2 del presente articolo, sia conseguita entro i termini di cui ai medesimi paragrafi.

Articolo 30 — Aspetti tecnici del passaggio

  1. I fornitori di servizi di trattamento dei dati concernenti risorse informatiche scalabili ed elastiche limitate a elementi infrastrutturali quali server, reti e risorse virtuali necessarie per il funzionamento dell’infrastruttura, che non forniscono tuttavia accesso ad applicazioni, servizi e software operativi memorizzati, altrimenti trattati o installati su tali elementi infrastrutturali, adottano, conformemente all’articolo 27, tutte le misure ragionevoli in loro potere per far sì che il cliente, dopo il passaggio a un servizio che copre lo stesso tipo di servizio, raggiunga l’equivalenza funzionale nell’utilizzo del servizio del trattamento dei dati di destinazione. Il fornitore di servizi di trattamento dei dati di origine agevola il processo di passaggio fornendo capacità, sufficienti informazioni, documentazione, assistenza tecnica e, se del caso, gli strumenti necessari.

  2. I fornitori di servizi di trattamento dei dati, diversi da quelli di cui al paragrafo 1, rendono disponibili a titolo gratuito interfacce aperte in egual misura per tutti i loro clienti e i fornitori di servizi di destinazione interessati al fine di agevolare il processo di passaggio. Tali interfacce includono informazioni sufficienti sul servizio in questione onde permettere lo sviluppo di software per comunicare con i servizi, ai fini della portabilità e dell’interoperabilità dei dati.

  3. Per i servizi di trattamento dei dati diversi da quelli di cui al paragrafo 1 del presente articolo, i fornitori di servizi di trattamento dei dati garantiscono la compatibilità con specifiche comuni basate sulle specifiche di interoperabilità aperte o norme armonizzate per l’interoperabilità almeno 12 mesi dopo la pubblicazione dei riferimenti a tali specifiche comuni o norme armonizzate per l’interoperabilità di servizi di trattamento dei dati, nell’archivio centrale dell’Unione delle norme per l’interoperabilità dei servizi di trattamento dei dati, a seguito della pubblicazione degli atti di esecuzione di base nella Gazzetta ufficiale dell’Unione europea, in conformità dell’articolo 35, paragrafo 7.

  4. I fornitori di servizi di trattamento dei dati diversi da quelli di cui al paragrafo 1 del presente articolo aggiornano il registro online di cui all’articolo 26, lettera b), conformemente agli obblighi di cui al paragrafo 3 del presente articolo.

  5. In caso di passaggio tra servizi dello stesso tipo di servizio, per i quali le specifiche comuni o le norme armonizzate per l’interoperabilità di cui al paragrafo 3 del presente articolo non siano state pubblicate nell’archivio centrale dell’Unione delle norme per l’interoperabilità dei servizi di trattamento dei dati a norma dell’articolo 35, paragrafo 8, il fornitore dei servizi di trattamento dei dati esporta, su richiesta del cliente, tutti i dati esportabili in un formato strutturato, di uso comune e leggibile da dispositivo automatico.

  6. I fornitori di servizi di trattamento dei dati non sono tenuti a sviluppare nuove tecnologie o servizi, o a comunicare o trasferire risorse digitali che sono protette da diritti di proprietà intellettuale o che costituiscono un segreto commerciale, a un cliente o a un diverso fornitore di servizi di trattamento dei dati, né a compromettere la sicurezza e l’integrità del servizio del cliente o del fornitore.

Articolo 31 — Regime specifico per taluni servizi di trattamento dei dati

  1. Gli obblighi di cui all’articolo 23, lettera d), all’articolo 29 e all’articolo 30, paragrafi 1 e 3, non si applicano ai servizi di trattamento dei dati le cui caratteristiche principali siano state per la maggior parte personalizzate al fine di soddisfare le esigenze specifiche di un singolo cliente, o i cui componenti siano stati tutti sviluppati per le finalità di un singolo cliente, e qualora tali servizi di trattamento dei dati non siano offerti su vasta scala commerciale tramite il catalogo di servizi del fornitore di servizi di trattamento dei dati.

  2. Gli obblighi di cui al presente capo non si applicano ai servizi di trattamento dei dati forniti come versione non destinata alla produzione, a fini di prova e valutazione e per un periodo limitato di tempo.

  3. Prima della conclusione di un contratto sulla fornitura dei servizi di trattamento dei dati di cui al presente articolo, il fornitore di servizi di trattamento dei dati informa il potenziale cliente degli obblighi del presente capo che non si applicano.