Preambolo

Considerando che:

(1) Negli ultimi anni, le tecnologie basate sui dati hanno avuto effetti di trasformazione su tutti i settori dell'economia. In particolare, la proliferazione di prodotti connessi a Internet ha aumentato il volume e il valore potenziale dei dati per i consumatori, le imprese e la società. Dati di alta qualità e interoperabili provenienti da diversi ambiti aumentano la competitività e l'innovazione e garantiscono una crescita economica sostenibile. Gli stessi dati possono essere utilizzati e riutilizzati per una varietà di scopi e in misura illimitata, senza alcuna perdita di qualità o quantità.

(2) Gli ostacoli alla condivisione dei dati impediscono un'allocazione ottimale dei dati a beneficio della società. Tali ostacoli comprendono la mancanza di incentivi per i titolari dei dati a sottoscrivere volontariamente accordi di condivisione dei dati, l'incertezza sui diritti e sugli obblighi in relazione ai dati, i costi di contrattazione e di implementazione delle interfacce tecniche, l'elevato livello di frammentazione delle informazioni in silos di dati, la scarsa gestione dei metadati, l'assenza di standard per l'interoperabilità semantica e tecnica, i colli di bottiglia che impediscono l'accesso ai dati, la mancanza di pratiche comuni di condivisione dei dati e l'abuso di squilibri contrattuali per quanto riguarda l'accesso e l'utilizzo dei dati.

(3) Nei settori caratterizzati dalla presenza di microimprese, piccole e medie imprese, come definite all'articolo 2 dell'allegato alla raccomandazione 2003/361/CE della Commissione (5) (PMI), spesso mancano le capacità e le competenze digitali per la raccolta, l'analisi e l'utilizzo dei dati e l'accesso è spesso limitato quando un solo attore li detiene nel sistema o a causa della mancanza di interoperabilità tra i dati, tra i servizi di dati o tra le frontiere.

(4) Per rispondere alle esigenze dell'economia digitale ed eliminare gli ostacoli a un mercato interno dei dati ben funzionante, è necessario stabilire un quadro armonizzato che specifichi chi ha il diritto di utilizzare i dati relativi ai prodotti o ai servizi connessi, a quali condizioni e su quali basi. Di conseguenza, gli Stati membri non dovrebbero adottare o mantenere requisiti nazionali aggiuntivi per quanto riguarda le questioni che rientrano nell'ambito di applicazione del presente regolamento, a meno che non sia esplicitamente previsto, in quanto ciò influirebbe sulla sua applicazione diretta e uniforme. Inoltre, l'azione a livello di Unione dovrebbe lasciare impregiudicati gli obblighi e gli impegni previsti dagli accordi commerciali internazionali conclusi dall'Unione.

(5) Il presente regolamento garantisce che gli utenti di un prodotto connesso o di un servizio connesso nell'Unione possano accedere tempestivamente ai dati generati dall'uso di tale prodotto connesso o servizio connesso e che tali utenti possano utilizzare i dati, anche condividendoli con terzi di loro scelta. Impone ai titolari dei dati l'obbligo di mettere i dati a disposizione degli utenti e dei terzi di loro scelta in determinate circostanze. Garantisce inoltre che i titolari dei dati mettano i dati a disposizione dei destinatari nell'Unione secondo termini e condizioni equi, ragionevoli e non discriminatori e in modo trasparente. Le norme di diritto privato sono fondamentali nel quadro generale della condivisione dei dati. Pertanto, il presente regolamento adegua le norme di diritto contrattuale e impedisce lo sfruttamento di squilibri contrattuali che ostacolano l'accesso e l'uso equo dei dati. Il presente regolamento garantisce inoltre che i titolari dei dati mettano a disposizione degli enti pubblici, della Commissione, della Banca centrale europea o degli organismi dell'Unione, in caso di necessità eccezionale, i dati necessari per l'esecuzione di un compito specifico svolto nel pubblico interesse. Inoltre, il presente regolamento mira a facilitare il passaggio da un servizio di elaborazione dati all'altro e a migliorare l'interoperabilità dei dati e dei meccanismi e servizi di condivisione dei dati nell'Unione. Il presente regolamento non deve essere interpretato come il riconoscimento o il conferimento di un nuovo diritto ai titolari dei dati di utilizzare i dati generati dall'uso di un prodotto connesso o di un servizio correlato.

(6) La generazione di dati è il risultato delle azioni di almeno due soggetti, in particolare il progettista o il fabbricante di un prodotto connesso, che in molti casi può anche essere un fornitore di servizi connessi, e l'utente del prodotto connesso o del servizio connesso. Ciò solleva questioni di equità nell'economia digitale, in quanto i dati registrati dai prodotti connessi o dai servizi correlati sono un input importante per i servizi post-vendita, accessori e di altro tipo. Per realizzare gli importanti vantaggi economici dei dati, anche attraverso la condivisione dei dati sulla base di accordi volontari e lo sviluppo della creazione di valore basata sui dati da parte delle imprese dell'Unione, è preferibile un approccio generale all'assegnazione dei diritti di accesso e di utilizzo dei dati piuttosto che l'attribuzione di diritti esclusivi di accesso e di utilizzo. Il presente regolamento prevede norme orizzontali che possono essere seguite dal diritto dell'Unione o nazionale che affronta le situazioni specifiche dei settori interessati.

(7) Il diritto fondamentale alla protezione dei dati personali è tutelato, in particolare, dai regolamenti (UE) 2016/679 (6) e (UE) 2018/1725 (7) del Parlamento europeo e del Consiglio. La direttiva 2002/58/CE del Parlamento europeo e del Consiglio (8) protegge inoltre la vita privata e la riservatezza delle comunicazioni, anche attraverso condizioni relative ai dati personali e non personali memorizzati nelle apparecchiature terminali e all'accesso da esse. Questi atti legislativi dell'Unione forniscono la base per un trattamento dei dati sostenibile e responsabile, anche quando gli insiemi di dati comprendono una combinazione di dati personali e non personali. Il presente regolamento integra e non pregiudica il diritto dell'Unione in materia di protezione dei dati personali e della privacy, in particolare i regolamenti (UE) 2016/679 e (UE) 2018/1725 e la direttiva 2002/58/CE. Nessuna disposizione del presente regolamento deve essere applicata o interpretata in modo da ridurre o limitare il diritto alla protezione dei dati personali o il diritto alla privacy e alla riservatezza delle comunicazioni. Qualsiasi trattamento di dati personali ai sensi del presente regolamento dovrebbe essere conforme al diritto dell'Unione in materia di protezione dei dati, compreso il requisito di una base giuridica valida per il trattamento ai sensi dell'articolo 6 del regolamento (UE) 2016/679 e, se del caso, le condizioni di cui all'articolo 9 di tale regolamento e all'articolo 5, paragrafo 3, della direttiva 2002/58/CE. Il presente regolamento non costituisce una base giuridica per la raccolta o la generazione di dati personali da parte del titolare. Il presente regolamento impone ai titolari dei dati l'obbligo di mettere i dati personali a disposizione degli utenti o di terzi di loro scelta su richiesta dell'utente. Tale accesso deve essere fornito ai dati personali trattati dal titolare del trattamento sulla base di una qualsiasi delle basi giuridiche di cui all'articolo 6 del Regolamento (UE) 2016/679. Se l'utente non è l'interessato, il presente regolamento non crea una base giuridica per fornire l'accesso ai dati personali o per mettere i dati personali a disposizione di terzi e non deve essere inteso come un nuovo diritto del titolare dei dati di utilizzare i dati personali generati dall'uso di un prodotto connesso o di un servizio correlato. In questi casi, potrebbe essere nell'interesse dell'utente agevolare il rispetto dei requisiti di cui all'articolo 6 del Regolamento (UE) 2016/679. Poiché il presente regolamento non dovrebbe incidere negativamente sui diritti di protezione dei dati degli interessati, il titolare dei dati può soddisfare le richieste in tali casi, tra l'altro, anonimizzando i dati personali o, qualora i dati prontamente disponibili contengano dati personali di più interessati, trasmettendo solo i dati personali relativi all'utente.

(8) I principi della minimizzazione dei dati e della protezione dei dati fin dalla progettazione e per impostazione predefinita sono essenziali quando il trattamento comporta rischi significativi per i diritti fondamentali delle persone. Tenendo conto dello stato dell'arte, tutte le parti che condividono i dati, compresa la condivisione dei dati che rientra nell'ambito di applicazione del presente regolamento, dovrebbero attuare misure tecniche e organizzative per proteggere tali diritti. Tali misure comprendono non solo la pseudonimizzazione e la crittografia, ma anche l'uso di tecnologie sempre più disponibili che consentono di applicare algoritmi ai dati e di ricavare informazioni preziose senza la trasmissione tra le parti o la copia non necessaria dei dati grezzi o strutturati.

(9) Salvo disposizioni contrarie del presente regolamento, esso non pregiudica il diritto contrattuale nazionale, comprese le norme sulla formazione, la validità o gli effetti dei contratti, né le conseguenze della risoluzione di un contratto. Il presente regolamento integra e non pregiudica il diritto dell'Unione volto a promuovere gli interessi dei consumatori e a garantire un livello elevato di protezione dei consumatori, nonché a tutelarne la salute, la sicurezza e gli interessi economici, in particolare la direttiva 93/13/CEE del Consiglio (9) e le direttive 2005/29/CE (10) e 2011/83/UE (11) del Parlamento europeo e del Consiglio.

(10) Il presente regolamento non pregiudica gli atti giuridici dell'Unione e nazionali che prevedono la condivisione, l'accesso e l'uso dei dati a fini di prevenzione, indagine, accertamento o perseguimento di reati o per l'esecuzione di sanzioni penali, o a fini doganali e fiscali, indipendentemente dalla base giuridica del Trattato sul funzionamento dell'Unione europea (TFUE) su cui tali atti giuridici dell'Unione sono stati adottati, nonché alla cooperazione internazionale in questo settore, in particolare sulla base della Convenzione del Consiglio d'Europa sulla criminalità informatica (STE n. 185), firmata a Budapest il 23 novembre 2001. Tali atti comprendono i regolamenti (UE) 2021/784 (12), (UE) 2022/2065 (13) e (UE) 2023/1543 (14) del Parlamento europeo e del Consiglio e la direttiva (UE) 2023/1544 del Parlamento europeo e del Consiglio (15). Il presente regolamento non si applica alla raccolta o alla condivisione, all'accesso o all'utilizzo dei dati ai sensi del regolamento (UE) 2015/847 del Parlamento europeo e del Consiglio (16) e della direttiva (UE) 2015/849 del Parlamento europeo e del Consiglio (17). Il presente regolamento non si applica a settori che esulano dall'ambito di applicazione del diritto dell'Unione e, in ogni caso, non pregiudica le competenze degli Stati membri in materia di pubblica sicurezza, difesa o sicurezza nazionale, amministrazione doganale e fiscale o salute e sicurezza dei cittadini, indipendentemente dal tipo di entitàEntità Persona fisica o giuridica creata e riconosciuta come tale dalla legislazione nazionale del suo luogo di stabilimento, che può, agendo in nome proprio, esercitare diritti ed essere soggetta a obblighi -. Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022/2555 (direttiva NIS2) incaricati dagli Stati membri di svolgere compiti in relazione a tali competenze.

(11) La legislazione dell'Unione che stabilisce i requisiti di progettazione fisica e di dati per i prodotti da immettere sul mercato dell'Unione non deve essere influenzata, a meno che non sia specificamente previsto dal presente regolamento.

(12) Il presente regolamento integra e non pregiudica il diritto dell'Unione volto a stabilire requisiti di accessibilità per determinati prodotti e servizi, in particolare la direttiva (UE) 2019/882 del Parlamento europeo e del Consiglio (18).

(13) Il presente regolamento non pregiudica gli atti giuridici dell'Unione e nazionali che prevedono la tutela dei diritti di proprietà intellettuale, comprese le direttive 2001/29/CE (19), 2004/48/CE (20) e (UE) 2019/790 (21) del Parlamento europeo e del Consiglio.

(14) Prodotti connessi che ottengono, generano o raccolgono, per mezzo dei loro componenti o sistemi operativi, dati relativi alle loro prestazioni, al loro utilizzo o al loro ambiente e che sono in grado di comunicare tali dati tramite un sistema di comunicazione. servizio di comunicazione elettronicaServizio di comunicazione elettronica Si intende un servizio normalmente fornito a titolo oneroso tramite reti di comunicazione elettronica, che comprende, ad eccezione dei servizi che forniscono o esercitano un controllo editoriale su contenuti trasmessi mediante reti e servizi di comunicazione elettronica, i seguenti tipi di servizi: a) "servizio di accesso a Internet", come definito all'articolo 2, secondo comma, punto (2), del regolamento (UE) 2015/2120; b) servizio di comunicazione interpersonale; e c) servizi consistenti interamente o principalmente nella trasmissione di segnali, quali i servizi di trasmissione utilizzati per la fornitura di servizi da macchina a macchina e per la radiodiffusione. - Definizione ai sensi dell'articolo 2, punto (4), della Direttiva (UE) 2018/1972.L'Internet degli oggetti, spesso definito come Internet degli oggetti, dovrebbe rientrare nell'ambito di applicazione del presente regolamento, ad eccezione dei prototipi. Esempi di tali servizi di comunicazione elettronica sono, in particolare, le reti telefoniche terrestri, le reti televisive via cavo, le reti satellitari e le reti di comunicazione in campo vicino. I prodotti connessi sono presenti in tutti gli aspetti dell'economia e della società, compresi le infrastrutture private, civili o commerciali, i veicoli, le apparecchiature per la salute e lo stile di vita, le navi, gli aeromobili, le apparecchiature domestiche e i beni di consumo, i dispositivi medici e sanitari o i macchinari agricoli e industriali. Le scelte progettuali dei produttori e, se del caso, la legislazione dell'Unione o nazionale che affronta le esigenze e gli obiettivi specifici del settore o le decisioni pertinenti delle autorità competenti, dovrebbero determinare quali dati un prodotto connesso è in grado di rendere disponibili.

(15) I dati rappresentano la digitalizzazione delle azioni e degli eventi dell'utente e devono pertanto essere accessibili all'utente. Le regole per l'accesso e l'uso dei dati dei prodotti connessi e dei servizi correlati ai sensi del presente regolamento riguardano sia i dati dei prodotti sia i dati dei servizi correlati. Per dati di prodotto si intendono i dati generati dall'uso di un prodotto connesso che il produttore ha progettato per essere recuperati dal prodotto connesso da un utente, dal titolare dei dati o da una terza parte, compreso, se del caso, il produttore. I dati dei servizi correlati si riferiscono ai dati che rappresentano anche la digitalizzazione di azioni o eventi dell'utente relativi al prodotto connesso, generati durante la fornitura di un servizio correlato da parte del fornitore. I dati generati dall'uso di un prodotto connesso o di un servizio correlato devono essere intesi come dati registrati intenzionalmente o come dati che derivano indirettamente dall'azione dell'utente, come i dati sull'ambiente o sulle interazioni del prodotto connesso. Ciò dovrebbe includere i dati sull'uso di un prodotto connesso generati da un'interfaccia utente o tramite un servizio correlato, e non dovrebbe essere limitato all'informazione che tale uso ha avuto luogo, ma dovrebbe includere tutti i dati che il prodotto connesso genera come risultato di tale uso, come i dati generati automaticamente dai sensori e i dati registrati dalle applicazioni incorporate, comprese le applicazioni che indicano lo stato dell'hardware e i malfunzionamenti. Dovrebbero essere inclusi anche i dati generati dal prodotto connesso o dal servizio correlato durante i periodi di inattività dell'utente, ad esempio quando l'utente sceglie di non utilizzare un prodotto connesso per un determinato periodo di tempo e di mantenerlo in modalità stand-by o addirittura spento, poiché lo stato di un prodotto connesso o dei suoi componenti, ad esempio le batterie, può variare quando il prodotto connesso è in modalità stand-by o spento. I dati non modificati in modo sostanziale, vale a dire i dati in forma grezza, noti anche come dati di origine o primari, che si riferiscono a punti di dati generati automaticamente senza alcuna ulteriore forma di elaborazione, nonché i dati che sono stati preelaborati allo scopo di renderli comprensibili e utilizzabili prima di una successiva elaborazione e analisi rientrano nell'ambito di applicazione del presente regolamento. Tali dati comprendono quelli raccolti da un singolo sensore o da un gruppo di sensori collegati allo scopo di rendere i dati raccolti comprensibili per casi d'uso più ampi, determinando una quantità o una qualità fisica o la variazione di una quantità fisica, come la temperatura, la pressione, la portata, l'audio, il valore del pH, il livello del liquido, la posizione, l'accelerazione o la velocità. L'espressione "dati pre-elaborati" non deve essere interpretata in modo tale da imporre al titolare dei dati l'obbligo di effettuare investimenti sostanziali per la pulizia e la trasformazione dei dati. I dati da rendere disponibili dovrebbero includere i metadati pertinenti, compresi il contesto di base e la datazione, per renderli utilizzabili, combinati con altri dati, come quelli ordinati e classificati con altri punti di dati ad essi relativi, o riformattati in un formato comunemente utilizzato. Tali dati sono potenzialmente preziosi per l'utente e supportano l'innovazione e lo sviluppo di servizi digitali e di altro tipo per proteggere l'ambiente, la salute e l'economia circolare, anche facilitando la manutenzione e la riparazione dei prodotti connessi in questione. Per contro, le informazioni desunte o derivate da tali dati, che sono il risultato di investimenti aggiuntivi per l'assegnazione di valori o intuizioni dai dati, in particolare mediante algoritmi proprietari e complessi, compresi quelli che fanno parte di software proprietari, non dovrebbero essere considerate rientrare nell'ambito di applicazione del presente regolamento e, di conseguenza, non dovrebbero essere soggette all'obbligo del titolare dei dati di metterle a disposizione di un utente o di un destinatario dei dati, a meno che non sia stato concordato diversamente tra l'utente e il titolare dei dati. Tali dati potrebbero includere, in particolare, informazioni derivate dalla fusione di sensori, che deducono o derivano dati da più sensori, raccolti nel prodotto connesso, utilizzando algoritmi proprietari e complessi e che potrebbero essere soggetti a diritti di proprietà intellettuale.

(16) Il presente regolamento consente agli utenti di prodotti connessi di beneficiare di servizi post-vendita, accessori e di altro tipo basati sui dati raccolti dai sensori incorporati in tali prodotti, la cui raccolta ha un valore potenziale per migliorare le prestazioni dei prodotti connessi. È importante distinguere tra, da un lato, i mercati per la fornitura di tali prodotti connessi dotati di sensori e dei relativi servizi e, dall'altro, i mercati per il software e i contenuti non correlati, come i contenuti testuali, audio o audiovisivi spesso coperti da diritti di proprietà intellettuale. Di conseguenza, i dati che tali prodotti connessi dotati di sensori generano quando l'utente registra, trasmette, visualizza o riproduce contenuti, nonché i contenuti stessi, spesso coperti da diritti di proprietà intellettuale, tra l'altro per l'uso da parte di un servizio online, non dovrebbero essere coperti dal presente regolamento. Il presente regolamento non dovrebbe inoltre riguardare i dati ottenuti, generati o consultati dal prodotto connesso, o ad esso trasmessi, ai fini dell'archiviazione o di altre operazioni di trattamento per conto di altre parti, che non sono l'utente, come può essere il caso dei server o delle infrastrutture cloud gestite dai loro proprietari interamente per conto di terzi, tra l'altro per l'uso da parte di un servizio online.

(17) È necessario stabilire norme relative ai prodotti che sono collegati a un servizio connesso al momento dell'acquisto, del noleggio o del leasing in modo tale che la sua assenza impedirebbe al prodotto connesso di svolgere una o più delle sue funzioni, o che è successivamente collegato al prodotto dal produttore o da un terzo per aggiungere o adattare la funzionalità del prodotto connesso. Tali servizi connessi comportano lo scambio di dati tra il prodotto connesso e il fornitore di servizi e devono essere intesi come esplicitamente collegati al funzionamento delle funzioni del prodotto connesso, come ad esempio i servizi che, se del caso, trasmettono comandi al prodotto connesso in grado di avere un impatto sulla sua azione o sul suo comportamento. I servizi che non hanno un impatto sul funzionamento del prodotto connesso e che non comportano la trasmissione di dati o comandi al prodotto connesso da parte del fornitore di servizi non dovrebbero essere considerati servizi connessi. Tali servizi potrebbero includere, ad esempio, servizi ausiliari di consulenza, di analisi o finanziari, o di riparazione e manutenzione periodica. I servizi correlati possono essere offerti come parte del contratto di acquisto, noleggio o leasing. I servizi correlati potrebbero essere forniti anche per prodotti dello stesso tipo e gli utenti potrebbero ragionevolmente aspettarsi che vengano forniti tenendo conto della natura del prodotto collegato e di qualsiasi dichiarazione pubblica rilasciata da o per conto del venditore, del noleggiatore, del locatore o di altre persone nei precedenti anelli della catena di transazioni, compreso il produttore. Tali servizi connessi possono essi stessi generare dati di valore per l'utente indipendentemente dalle capacità di raccolta dati del prodotto connesso con cui sono interconnessi. Il presente regolamento dovrebbe applicarsi anche a un servizio connesso che non è fornito dal venditore, dal noleggiatore o dal locatore stesso, ma che è fornito da una terza parte. In caso di dubbio sul fatto che il servizio sia fornito nell'ambito del contratto di acquisto, locazione o leasing, si dovrebbe applicare il presente regolamento. Né la fornitura di energia elettrica né la fornitura di connettività devono essere interpretate come servizi connessi ai sensi del presente regolamento.

(18) Per utente di un prodotto connesso si deve intendere una persona fisica o giuridica, come un'impresa, un consumatore o un ente pubblico, che possiede un prodotto connesso, ha ricevuto determinati diritti temporanei, ad esempio mediante un contratto di noleggio o di leasing, di accedere ai dati ottenuti dal prodotto connesso o di utilizzarli, oppure riceve servizi connessi per il prodotto connesso. Tali diritti di accesso non devono in alcun modo alterare o interferire con i diritti degli interessati che possono interagire con un prodotto connesso o un servizio correlato in merito ai dati personali generati dal prodotto connesso o durante la fornitura del servizio correlato. L'utente si assume i rischi e gode dei vantaggi dell'utilizzo del prodotto connesso e dovrebbe anche avere accesso ai dati da esso generati. L'utente dovrebbe quindi avere il diritto di trarre beneficio dai dati generati da tale prodotto connesso e da qualsiasi servizio correlato. Anche un proprietario, un affittuario o un locatario dovrebbero essere considerati utenti, anche nel caso in cui più entità possano essere considerate utenti. Nel contesto di utenti multipli, ogni utente può contribuire in modo diverso alla generazione dei dati e avere un interesse in diverse forme di utilizzo, come la gestione della flotta per un'impresa di leasing o le soluzioni di mobilità per gli individui che utilizzano un servizio di car sharing.

(19) Per alfabetizzazione ai dati si intendono le competenze, le conoscenze e la comprensione che consentono agli utenti, ai consumatori e alle imprese, in particolare alle PMI che rientrano nell'ambito di applicazione del presente regolamento, di acquisire consapevolezza del valore potenziale dei dati che generano, producono e condividono e che sono motivati a offrire e fornire accesso in conformità alle norme giuridiche pertinenti. L'alfabetizzazione ai dati dovrebbe andare oltre l'apprendimento di strumenti e tecnologie e mirare a dotare i cittadini e le imprese della capacità di beneficiare di un mercato dei dati inclusivo ed equo. La diffusione di misure di alfabetizzazione ai dati e l'introduzione di adeguate azioni di follow-up potrebbero contribuire a migliorare le condizioni di lavoro e, in ultima analisi, a sostenere il consolidamento e il percorso di innovazione dell'economia dei dati nell'Unione. Le autorità competenti dovrebbero promuovere strumenti e adottare misure per promuovere l'alfabetizzazione dei dati tra gli utenti e i soggetti che rientrano nell'ambito di applicazione del presente regolamento e la consapevolezza dei loro diritti e obblighi.

(20) In pratica, non tutti i dati generati dai prodotti connessi o dai servizi correlati sono facilmente accessibili ai loro utenti e le possibilità di portabilità dei dati generati dai prodotti connessi a Internet sono spesso limitate. Gli utenti non sono in grado di ottenere i dati necessari per avvalersi di fornitori di servizi di riparazione e di altro tipo e le imprese non sono in grado di lanciare servizi innovativi, convenienti e più efficienti. In molti settori, i produttori sono in grado di determinare, attraverso il controllo della progettazione tecnica dei prodotti connessi o dei servizi correlati, quali dati vengono generati e come è possibile accedervi, pur non avendo alcun diritto legale su tali dati. È pertanto necessario garantire che i prodotti connessi siano progettati e fabbricati e i servizi connessi siano progettati e forniti in modo tale che i dati dei prodotti e i dati dei servizi connessi, compresi i metadati pertinenti necessari per interpretare e utilizzare tali dati, anche al fine di recuperarli, utilizzarli o condividerli, siano sempre accessibili in modo facile e sicuro a un utente, gratuitamente, in un formato completo, strutturato, comunemente utilizzato e leggibile a macchina. I dati del prodotto e i dati del servizio correlato che il titolare dei dati ottiene o può ottenere legalmente dal prodotto connesso o dal servizio correlato, ad esempio attraverso il design del prodotto connesso, il contratto del titolare dei dati con l'utente per la fornitura di servizi correlati e i suoi mezzi tecnici di accesso ai dati, senza sforzi sproporzionati, sono definiti "dati prontamente disponibili". I dati prontamente disponibili non comprendono i dati generati dall'uso di un prodotto connesso, se la progettazione del prodotto connesso non prevede che tali dati siano memorizzati o trasmessi al di fuori del componente in cui sono generati o del prodotto connesso nel suo complesso. Il presente regolamento non dovrebbe pertanto essere inteso come un obbligo di memorizzare i dati nell'unità centrale di elaborazione di un prodotto connesso. L'assenza di tale obbligo non dovrebbe impedire al produttore o al titolare dei dati di concordare volontariamente con l'utente la realizzazione di tali adattamenti. Gli obblighi di progettazione previsti dal presente regolamento non pregiudicano inoltre il principio di minimizzazione dei dati di cui all'articolo 5, paragrafo 1, lettera c), del regolamento (UE) 2016/679 e non devono essere intesi come l'imposizione di un obbligo di progettare i prodotti connessi e i servizi correlati in modo tale che essi memorizzino o trattino in altro modo dati personali diversi da quelli necessari in relazione alle finalità per cui sono trattati. Il diritto dell'Unione o nazionale potrebbe essere introdotto per delineare ulteriori specificità, come i dati di prodotto che dovrebbero essere accessibili dai prodotti connessi o dai servizi connessi, dato che tali dati possono essere essenziali per il funzionamento efficiente, la riparazione o la manutenzione di tali prodotti connessi o servizi connessi. Nel caso in cui successivi aggiornamenti o modifiche a un prodotto connesso o a un servizio connesso, da parte del produttore o di un'altra parte, comportino ulteriori dati accessibili o una restrizione dei dati inizialmente accessibili, tali modifiche dovrebbero essere comunicate all'utente nel contesto dell'aggiornamento o della modifica.

(21) Quando più persone o entità sono considerate utenti, ad esempio in caso di comproprietà o quando un proprietario, un affittuario o un locatario condividono i diritti di accesso o di utilizzo dei dati, la progettazione del prodotto connesso o del servizio correlato, o della relativa interfaccia, dovrebbe consentire a ciascun utente di avere accesso ai dati che genera. L'uso di prodotti connessi che generano dati richiede tipicamente la creazione di un account utente. Tale account consente all'utente di essere identificato dal titolare dei dati, che può essere il produttore. Può anche essere utilizzato come mezzo di comunicazione e per presentare ed elaborare richieste di accesso ai dati. Nel caso in cui più produttori o fornitori di servizi connessi abbiano venduto, noleggiato o affittato prodotti connessi o fornito servizi connessi, integrati tra loro, allo stesso utente, quest'ultimo dovrà rivolgersi a ciascuna delle parti con cui ha stipulato un contratto. I produttori o i progettisti di un prodotto connesso che è tipicamente utilizzato da più persone dovrebbero mettere in atto i meccanismi necessari per consentire account utente separati per le singole persone, se del caso, o per la possibilità che più persone utilizzino lo stesso account utente. Le soluzioni per gli account dovrebbero consentire agli utenti di cancellare i propri account e di cancellare i dati ad essi relativi e potrebbero consentire agli utenti di interrompere l'accesso, l'utilizzo o la condivisione dei dati, o di presentare richieste di interruzione, in particolare tenendo conto delle situazioni in cui la proprietà o l'utilizzo del prodotto connesso cambiano. L'accesso dovrebbe essere concesso all'utente sulla base di un semplice meccanismo di richiesta che garantisca l'esecuzione automatica e non richieda l'esame o l'autorizzazione da parte del produttore o del titolare dei dati. Ciò significa che i dati devono essere resi disponibili solo quando l'utente desidera effettivamente accedervi. Qualora l'esecuzione automatica della richiesta di accesso ai dati non sia possibile, ad esempio tramite un account utente o un'applicazione mobile fornita con il prodotto connesso o il servizio correlato, il produttore deve informare l'utente sulle modalità di accesso ai dati.

(22) I prodotti connessi possono essere progettati per rendere alcuni dati direttamente accessibili dalla memoria dati del dispositivo o da un server remoto a cui i dati sono comunicati. L'accesso alla memorizzazione dei dati sul dispositivo può avvenire tramite reti locali via cavo o wireless collegate a un servizio di comunicazione elettronica o a una rete mobile disponibile al pubblico. Il server può essere costituito dalla capacità del server locale del produttore o da quello di una terza parte o di un fornitore di servizi cloud. Gli incaricati del trattamento, come definiti all'articolo 4, punto (8), del Regolamento (UE) 2016/679, non sono considerati titolari dei dati. Tuttavia, possono essere specificamente incaricati di rendere disponibili i dati dal responsabile del trattamento, come definito all'articolo 4, punto (7), del Regolamento (UE) 2016/679. I prodotti connessi possono essere progettati per consentire all'utente o a terzi di elaborare i dati sul prodotto connesso, su un'istanza informatica del produttore o all'interno di un ambiente di tecnologia dell'informazione e della comunicazione (TIC) scelto dall'utente o da terzi.

(23) Gli assistenti virtuali svolgono un ruolo crescente nella digitalizzazione degli ambienti di consumo e professionali e fungono da interfaccia di facile utilizzo per riprodurre contenuti, ottenere informazioni o attivare prodotti connessi a Internet. Gli assistenti virtuali possono fungere da gateway unico, ad esempio in un ambiente domestico intelligente, e registrare quantità significative di dati rilevanti sulle modalità di interazione degli utenti con i prodotti connessi a Internet, compresi quelli fabbricati da altre parti, e possono sostituire l'uso di interfacce fornite dal produttore, come touch screen o app per smartphone. L'utente potrebbe voler rendere disponibili tali dati a produttori terzi e abilitare nuovi servizi intelligenti. Gli assistenti virtuali dovrebbero essere coperti dai diritti di accesso ai dati previsti dal presente regolamento. Anche i dati generati quando un utente interagisce con un prodotto connesso tramite un assistente virtuale fornito da un'entità diversa dal produttore del prodotto connesso dovrebbero essere coperti dai diritti di accesso ai dati previsti dal presente regolamento. Tuttavia, solo i dati derivanti dall'interazione tra l'utente e un prodotto connesso o un servizio correlato attraverso l'assistente virtuale dovrebbero essere coperti dal presente regolamento. I dati prodotti dall'assistente virtuale che non sono correlati all'uso di un prodotto connesso o di un servizio correlato non sono coperti dal presente regolamento.

(24) Prima di concludere un contratto per l'acquisto, il noleggio o il leasing di un prodotto connesso, il venditore, il noleggiatore o il locatore, che può essere il produttore, dovrebbe fornire all'utente informazioni sui dati del prodotto che il prodotto connesso è in grado di generare, compresi il tipo, il formato e il volume stimato di tali dati, in modo chiaro e comprensibile. Ciò potrebbe includere informazioni su strutture di dati, formati di dati, vocabolari, schemi di classificazione, tassonomie ed elenchi di codici, se disponibili, nonché informazioni chiare e sufficienti per l'esercizio dei diritti dell'utente sulle modalità di archiviazione, recupero o accesso ai dati, compresi i termini di utilizzo e la qualità del servizio delle interfacce di programmazione delle applicazioni o, se del caso, la fornitura di kit di sviluppo software. Tale obbligo garantisce la trasparenza dei dati generati dal prodotto e favorisce la facilità di accesso per l'utente. L'obbligo di informazione potrebbe essere soddisfatto, ad esempio, mantenendo un localizzatore uniforme di risorse (URL) stabile sul web, che può essere distribuito come un link web o un codice QR, che punta alle informazioni pertinenti, che potrebbero essere fornite dal venditore, dal noleggiatore o dal locatore, che può essere il produttore, all'utente prima di concludere il contratto di acquisto, noleggio o leasing di un prodotto connesso. In ogni caso, è necessario che l'utente sia in grado di memorizzare le informazioni in modo che siano accessibili per riferimenti futuri e che consentano la riproduzione immutata delle informazioni memorizzate. Non si può pretendere che il titolare dei dati conservi i dati a tempo indeterminato in considerazione delle esigenze dell'utente del prodotto connesso, ma deve attuare una politica di conservazione dei dati ragionevole, se del caso, in linea con il principio di limitazione della conservazione ai sensi dell'articolo 5, paragrafo 1, lettera e), del regolamento (UE) 2016/679, che consenta l'effettiva applicazione dei diritti di accesso ai dati previsti dal presente regolamento. L'obbligo di fornire informazioni non pregiudica l'obbligo del titolare del trattamento di fornire informazioni all'interessato ai sensi degli articoli 12, 13 e 14 del Regolamento (UE) 2016/679. L'obbligo di fornire informazioni prima di concludere un contratto per la fornitura di un servizio connesso dovrebbe spettare al potenziale titolare dei dati, indipendentemente dal fatto che il titolare dei dati concluda un contratto per l'acquisto, il noleggio o il leasing di un prodotto connesso. Qualora le informazioni cambino durante la vita del prodotto connesso o la durata del contratto per il servizio correlato, compreso il caso in cui la finalità per la quale tali dati devono essere utilizzati cambi rispetto alla finalità originariamente specificata, esse devono essere fornite anche all'utente.

(25) Il presente regolamento non deve essere inteso come un nuovo diritto per i titolari dei dati di utilizzare i dati dei prodotti o i dati dei servizi connessi. Se il produttore di un prodotto connesso è un titolare di dati, la base per l'utilizzo di dati non personali da parte del produttore dovrebbe essere un contratto tra il produttore e l'utente. Tale contratto potrebbe essere parte di un accordo per la fornitura del servizio correlato, che potrebbe essere concluso insieme al contratto di acquisto, affitto o leasing relativo al prodotto connesso. Qualsiasi clausola contrattuale che preveda che il titolare dei dati possa utilizzare i dati del prodotto o del servizio connesso deve essere trasparente per l'utente, anche per quanto riguarda le finalità per cui il titolare dei dati intende utilizzare i dati. Tali finalità potrebbero includere il miglioramento del funzionamento del prodotto connesso o dei servizi correlati, lo sviluppo di nuovi prodotti o servizi, o l'aggregazione dei dati con l'obiettivo di rendere disponibili a terzi i dati derivati che ne derivano, a condizione che tali dati derivati non consentano l'identificazione di dati specifici trasmessi al titolare dei dati dal prodotto connesso, né permettano a terzi di ricavare tali dati dal set di dati. Qualsiasi modifica del contratto deve dipendere dal consenso informato dell'utente. Il presente regolamento non impedisce alle parti di concordare condizioni contrattuali il cui effetto sia quello di escludere o limitare l'uso di dati non personali, o di determinate categorie di dati non personali, da parte del titolare dei dati. Né impedisce alle parti di concordare di mettere a disposizione di terzi, direttamente o indirettamente, i dati relativi ai prodotti o ai servizi correlati, anche, se del caso, tramite un altro titolare dei dati. Inoltre, il presente regolamento non impedisce l'applicazione di requisiti normativi settoriali specifici ai sensi del diritto dell'Unione, o del diritto nazionale compatibile con il diritto dell'Unione, che escludano o limitino l'uso di alcuni di questi dati da parte del titolare per motivi di ordine pubblico ben definiti. Il presente regolamento non impedisce agli utenti, nel caso di relazioni tra imprese, di mettere i dati a disposizione di terzi o dei titolari dei dati in base a qualsiasi clausola contrattuale lecita, anche accettando di limitare o restringere l'ulteriore condivisione di tali dati, o di essere compensati in misura proporzionale, ad esempio in cambio della rinuncia al diritto di utilizzare o condividere tali dati. La nozione di "titolare dei dati" non comprende generalmente gli enti pubblici, ma può includere le imprese pubbliche.

(26) Per favorire l'emergere di mercati liquidi, equi ed efficienti per i dati non personali, gli utenti dei prodotti connessi dovrebbero essere in grado di condividere i dati con altri, anche a fini commerciali, con il minimo sforzo legale e tecnico. Attualmente è spesso difficile per le aziende giustificare i costi di personale o di calcolo necessari per preparare insiemi di dati non personali o prodotti di dati e offrirli a potenziali controparti tramite servizi di intermediazione di dati, compresi i mercati di dati. Un ostacolo sostanziale alla condivisione di dati non personali da parte delle imprese deriva quindi dalla mancanza di prevedibilità dei ritorni economici derivanti dall'investimento nella cura e nella messa a disposizione di dataset o prodotti di dati. Per consentire la nascita di mercati liquidi, equi ed efficienti per i dati non personali nell'Unione, è necessario chiarire chi ha il diritto di offrire tali dati sul mercato. Gli utenti dovrebbero quindi avere il diritto di condividere i dati non personali con i destinatari dei dati per scopi commerciali e non commerciali. Tale condivisione di dati potrebbe essere effettuata direttamente dall'utente, su richiesta dell'utente tramite un titolare di dati, o attraverso servizi di intermediazione di dati. I servizi di intermediazione dei dati, come disciplinato dal Regolamento (UE) 2022/868 del Parlamento europeo e del Consiglio (22), potrebbero facilitare l'economia dei dati stabilendo relazioni commerciali tra gli utenti, i destinatari dei dati e i terzi e potrebbero supportare gli utenti nell'esercizio del loro diritto all'uso dei dati, ad esempio garantendo l'anonimizzazione dei dati personali o l'aggregazione dell'accesso ai dati di più utenti individuali. Quando i dati sono esclusi dall'obbligo del titolare di metterli a disposizione degli utenti o di terzi, l'ambito di tali dati potrebbe essere specificato nel contratto tra l'utente e il titolare per la fornitura di un servizio correlato, in modo che gli utenti possano facilmente determinare quali dati sono disponibili per la condivisione con i destinatari dei dati o con terzi. I titolari dei dati non dovrebbero mettere a disposizione di terzi i dati non personali del prodotto per scopi commerciali o non commerciali diversi dall'adempimento del contratto con l'utente, fatti salvi gli obblighi di legge ai sensi del diritto dell'Unione o nazionale che impongono al titolare dei dati di mettere a disposizione i dati. Se del caso, i titolari dei dati dovrebbero vincolare contrattualmente i terzi a non condividere ulteriormente i dati ricevuti da loro.

(27) Nei settori caratterizzati dalla concentrazione di un piccolo numero di produttori che forniscono prodotti connessi agli utenti finali, le opzioni a disposizione degli utenti per l'accesso, l'utilizzo e la condivisione dei dati possono essere limitate. In tali circostanze, i contratti possono essere insufficienti per raggiungere l'obiettivo della responsabilizzazione degli utenti, rendendo difficile per questi ultimi ottenere valore dai dati generati dal prodotto connesso che acquistano, noleggiano o affittano. Di conseguenza, il potenziale per le piccole imprese innovative di offrire soluzioni basate sui dati in modo competitivo e per un'economia dei dati diversificata nell'Unione è limitato. Il presente regolamento dovrebbe pertanto basarsi sui recenti sviluppi in settori specifici, come il codice di condotta sulla condivisione dei dati agricoli per contratto. Il diritto dell'Unione o nazionale può essere adottato per rispondere a esigenze e obiettivi specifici del settore. Inoltre, i titolari dei dati non devono utilizzare dati prontamente disponibili che non siano personali per ricavare informazioni sulla situazione economica dell'utente o sui suoi beni o metodi di produzione o sull'utilizzo da parte dell'utente in qualsiasi altro modo che possa compromettere la posizione commerciale di tale utente sui mercati in cui opera. Ciò potrebbe includere l'utilizzo di conoscenze sull'andamento generale di un'azienda o di un'azienda agricola nelle trattative contrattuali con l'utente per il potenziale acquisto dei prodotti o dei prodotti agricoli dell'utente, a scapito di quest'ultimo, o l'utilizzo di tali informazioni per alimentare banche dati più ampie su determinati mercati in forma aggregata, ad esempio banche dati sulle rese dei raccolti per la prossima stagione di raccolta, in quanto tale utilizzo potrebbe influire negativamente sull'utente in modo indiretto. L'utente dovrebbe disporre dell'interfaccia tecnica necessaria per gestire le autorizzazioni, preferibilmente con opzioni di autorizzazione granulari come "permetti una volta" o "permetti durante l'utilizzo di questa app o servizio", compresa la possibilità di revocare tali autorizzazioni.

(28) Nei contratti tra un titolare di dati e un consumatore in quanto utente di un prodotto connesso o di un servizio correlato che genera dati, si applica la normativa dell'Unione in materia di consumatori, in particolare le direttive 93/13/CEE e 2005/29/CE, per garantire che un consumatore non sia soggetto a clausole contrattuali abusive. Ai fini del presente regolamento, le clausole contrattuali abusive imposte unilateralmente a un'impresa non dovrebbero essere vincolanti per quest'ultima.

(29) I titolari dei dati possono richiedere un'adeguata identificazione dell'utente per verificare il suo diritto di accesso ai dati. Nel caso di dati personali trattati da un incaricato del trattamento per conto del responsabile del trattamento, i titolari dei dati devono assicurarsi che la richiesta di accesso sia ricevuta e gestita dall'incaricato del trattamento.

(30) L'utente deve essere libero di utilizzare i dati per qualsiasi scopo lecito. Ciò include la fornitura dei dati che l'utente ha ricevuto nell'esercizio dei suoi diritti ai sensi del presente regolamento a un terzo che offre un servizio di assistenza post-vendita che potrebbe essere in concorrenza con un servizio fornito da un titolare dei dati, o per istruire il titolare dei dati a farlo. La richiesta deve essere presentata dall'utente o da un terzo autorizzato che agisce per conto dell'utente, compreso il fornitore di un servizio di intermediazione dati. I titolari dei dati devono garantire che i dati messi a disposizione di terzi siano accurati, completi, affidabili, pertinenti e aggiornati quanto i dati a cui il titolare dei dati stesso può o ha diritto di accedere grazie all'uso del prodotto connesso o del servizio correlato. Nel trattamento dei dati devono essere rispettati tutti i diritti di proprietà intellettuale. È importante mantenere gli incentivi a investire in prodotti con funzionalità basate sull'uso di dati provenienti da sensori integrati in tali prodotti.

(31) La direttiva (UE) 2016/943 del Parlamento europeo e del Consiglio (23) stabilisce che l'acquisizione, l'utilizzo o la divulgazione di un segreto commerciale sono considerati leciti, tra l'altro, quando tale acquisizione, utilizzo o divulgazione sono richiesti o consentiti dal diritto dell'Unione o nazionale. Sebbene il presente regolamento imponga ai titolari dei dati di divulgare determinati dati agli utenti, o a terzi di loro scelta, anche quando tali dati si qualificano come segreti commerciali, esso dovrebbe essere interpretato in modo tale da preservare la protezione accordata ai segreti commerciali ai sensi della Direttiva (UE) 2016/943. In questo contesto, i titolari dei dati dovrebbero poter richiedere agli utenti, o a terzi di loro scelta, di mantenere la riservatezza dei dati considerati segreti commerciali. A tal fine, i titolari dei dati dovrebbero identificare i segreti commerciali prima della loro divulgazione e dovrebbero avere la possibilità di concordare con gli utenti, o con terzi di loro scelta, le misure necessarie a preservarne la riservatezza, anche attraverso l'uso di clausole contrattuali tipo, accordi di riservatezza, protocolli di accesso rigorosi, standard tecnici e l'applicazione di codici di condotta. Oltre all'uso di clausole contrattuali tipo che la Commissione deve sviluppare e raccomandare, l'istituzione di codici di condotta e di norme tecniche relative alla protezione dei segreti commerciali nel trattamento dei dati potrebbe contribuire a raggiungere l'obiettivo del presente regolamento e dovrebbe essere incoraggiata. Qualora non vi sia un accordo sulle misure necessarie o qualora un utente, o terzi di sua scelta, non attuino le misure concordate o compromettano la riservatezza dei segreti commerciali, il titolare dei dati dovrebbe essere in grado di rifiutare o sospendere la condivisione dei dati identificati come segreti commerciali. In questi casi, il titolare dei dati dovrebbe comunicare la decisione per iscritto all'utente o al terzo senza ritardi ingiustificati e notificare all'autorità competente dello Stato membro in cui è stabilito il titolare dei dati il rifiuto o la sospensione della condivisione dei dati, indicando quali misure non sono state concordate o attuate e, se del caso, quali segreti commerciali sono stati compromessi nella loro riservatezza. In linea di principio, i titolari dei dati non possono rifiutare una richiesta di accesso ai dati ai sensi del presente regolamento unicamente sulla base del fatto che alcuni dati sono considerati un segreto commerciale, in quanto ciò sovvertirebbe gli effetti previsti dal regolamento stesso. Tuttavia, in circostanze eccezionali, un titolare di dati che sia titolare di un segreto commerciale dovrebbe essere in grado, caso per caso, di rifiutare una richiesta per i dati specifici in questione se è in grado di dimostrare all'utente o al terzo che, nonostante le misure tecniche e organizzative adottate dall'utente o dal terzo, è altamente probabile che la divulgazione del segreto commerciale comporti un grave danno economico. Un grave danno economico implica una perdita economica grave e irreparabile. Il titolare dei dati deve motivare per iscritto e senza ritardi ingiustificati il suo rifiuto all'utente o al terzo e informare l'autorità competente. Tale motivazione deve basarsi su elementi oggettivi, che dimostrino la concretezza del rifiuto. rischioIl rischio Si intende il potenziale di perdita o di perturbazione causato da un incidente e deve essere espresso come una combinazione dell'entità di tale perdita o perturbazione e della probabilità che l'incidente si verifichi -. Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022/2555 (direttiva NIS2) di un grave danno economico che si prevede possa derivare da una specifica divulgazione di dati e le ragioni per cui le misure adottate per salvaguardare i dati richiesti non sono considerate sufficienti. Un possibile impatto negativo su sicurezza informaticaSicurezza informatica per "cibersicurezza" si intende la cibersicurezza quale definita all'articolo 2, punto 1, del regolamento (UE) 2019/881; - Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022/2555 (direttiva NIS2) per "sicurezza informatica" si intendono le attività necessarie per proteggere i sistemi di rete e di informazione, gli utenti di tali sistemi e le altre persone interessate dalle minacce informatiche; - definizione ai sensi dell'articolo 2, punto (1), del regolamento (UE) 2019/881; possono essere presi in considerazione in tale contesto. Fatto salvo il diritto di proporre ricorso dinanzi a un organo giurisdizionale di uno Stato membro, qualora l'utente o un terzo desideri contestare la decisione del titolare del trattamento di rifiutare o negare o sospendere la condivisione dei dati, l'utente o il terzo può presentare un reclamo all'autorità competente, che dovrebbe decidere, senza indebito ritardo, se e a quali condizioni la condivisione dei dati debba iniziare o riprendere, oppure può concordare con il titolare del trattamento di deferire la questione a un organismo di risoluzione delle controversie. Le eccezioni ai diritti di accesso ai dati previste dal presente regolamento non dovrebbero in alcun caso limitare il diritto di accesso e il diritto alla portabilità dei dati degli interessati ai sensi del Regolamento (UE) 2016/679.

(32) L'obiettivo del presente regolamento non è solo quello di promuovere lo sviluppo di prodotti connessi o servizi connessi nuovi e innovativi, di stimolare l'innovazione sui mercati secondari, ma anche di stimolare lo sviluppo di servizi completamente nuovi che facciano uso dei dati in questione, anche sulla base di dati provenienti da una varietà di prodotti connessi o servizi connessi. Allo stesso tempo, il presente Regolamento mira a evitare di compromettere gli incentivi all'investimento per il tipo di prodotto connesso da cui i dati sono ottenuti, ad esempio attraverso l'uso dei dati per sviluppare un prodotto connesso concorrente che sia considerato intercambiabile o sostituibile dagli utenti, in particolare sulla base delle caratteristiche del prodotto connesso, del suo prezzo e dell'uso previsto. Il presente regolamento non prevede alcun divieto di sviluppare un servizio connesso utilizzando i dati ottenuti ai sensi del presente regolamento, poiché ciò avrebbe un effetto scoraggiante indesiderato sull'innovazione. Il divieto di utilizzare i dati ottenuti ai sensi del presente regolamento per sviluppare un prodotto connesso concorrente protegge gli sforzi di innovazione dei titolari dei dati. Il fatto che un prodotto connesso sia in concorrenza con il prodotto connesso da cui provengono i dati dipende dal fatto che i due prodotti connessi siano in concorrenza sullo stesso mercato del prodotto. Ciò deve essere determinato sulla base dei principi stabiliti dal diritto della concorrenza dell'Unione per la definizione del mercato del prodotto rilevante. Tuttavia, le finalità lecite per l'utilizzo dei dati potrebbero includere l'ingegneria inversa, a condizione che sia conforme ai requisiti stabiliti nel presente regolamento e nel diritto dell'Unione o nazionale. Questo può essere il caso della riparazione o del prolungamento della vita di un prodotto connesso o della fornitura di servizi di assistenza ai prodotti connessi.

(33) Il terzo a cui vengono messi a disposizione i dati può essere una persona fisica o giuridica, ad esempio un consumatore, un'impresa, un'azienda, una società o un'associazione. organizzazione di ricercaOrganizzazione della ricerca Si intende un'entità che ha come obiettivo primario quello di condurre ricerca applicata o sviluppo sperimentale con l'obiettivo di sfruttare i risultati di tale ricerca a fini commerciali, ma che non include gli istituti di istruzione -. Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022/2555 (direttiva NIS2)un'organizzazione senza scopo di lucro o un'entità che agisce a titolo professionale. Nel mettere i dati a disposizione di terzi, il titolare dei dati non deve abusare della propria posizione per cercare di ottenere un vantaggio competitivo in mercati in cui il titolare dei dati e il terzo possono essere in concorrenza diretta. Il titolare dei dati non deve quindi utilizzare i dati prontamente disponibili per ricavare informazioni sulla situazione economica, sui beni o sui metodi di produzione del terzo, o sull'utilizzo da parte di quest'ultimo, in qualsiasi altro modo che possa compromettere la posizione commerciale del terzo sui mercati in cui opera. L'utente deve poter condividere dati non personali con terzi per scopi commerciali. Previo accordo con l'utente e nel rispetto delle disposizioni del presente regolamento, i terzi dovrebbero poter trasferire i diritti di accesso ai dati concessi dall'utente ad altri terzi, anche in cambio di un compenso. Gli intermediari di dati business-to-business e i sistemi di gestione delle informazioni personali (PIMS), definiti servizi di intermediazione dei dati nel Regolamento (UE) 2022/868, possono supportare gli utenti o i terzi nell'instaurazione di relazioni commerciali con un numero indeterminato di potenziali controparti per qualsiasi finalità lecita che rientri nell'ambito di applicazione del presente Regolamento. Potrebbero svolgere un ruolo strumentale nell'aggregazione dell'accesso ai dati in modo da facilitare le analisi dei big data o l'apprendimento automatico, a condizione che gli utenti mantengano il pieno controllo sull'opportunità di fornire i propri dati a tale aggregazione e sulle condizioni commerciali in base alle quali i loro dati devono essere utilizzati.

(34) L'utilizzo di un prodotto connesso o di un servizio correlato può, in particolare quando l'utente è una persona fisica, generare dati che si riferiscono all'interessato. Il trattamento di tali dati è soggetto alle norme stabilite dal Regolamento (UE) 2016/679, anche quando i dati personali e non personali di un insieme di dati sono inestricabilmente collegati. L'interessato può essere l'utente o un'altra persona fisica. I dati personali possono essere richiesti solo da un responsabile del trattamento o da un interessato. L'utente che è l'interessato ha, in determinate circostanze, il diritto di accedere ai dati personali che lo riguardano ai sensi del Regolamento (UE) 2016/679 e tali diritti non sono pregiudicati dal presente Regolamento. Ai sensi del presente regolamento, l'utente che è una persona fisica ha inoltre il diritto di accedere a tutti i dati generati dall'uso di un prodotto connesso, siano essi personali o non personali. Se l'utente non è l'interessato ma un'impresa, compresa una ditta individuale, e non nei casi di uso domestico condiviso del prodotto connesso, l'utente è considerato un responsabile del trattamento. Di conseguenza, l'utente che, in qualità di responsabile del trattamento, intende richiedere i dati personali generati dall'uso di un prodotto connesso o di un servizio correlato, deve disporre di una base giuridica per il trattamento dei dati, come previsto dall'articolo 6, paragrafo 1, del Regolamento (UE) 2016/679, quale il consenso dell'interessato o l'esecuzione di un contratto di cui l'interessato è parte. L'utente deve garantire che l'interessato sia adeguatamente informato delle finalità specifiche, esplicite e legittime del trattamento di tali dati e delle modalità con cui l'interessato può esercitare efficacemente i propri diritti. Qualora il titolare dei dati e l'utente siano contitolari del trattamento ai sensi dell'articolo 26 del Regolamento (UE) 2016/679, essi sono tenuti a determinare, in modo trasparente mediante un accordo tra loro, le rispettive responsabilità per il rispetto di tale Regolamento. Resta inteso che tale utente, una volta resi disponibili i dati, può diventare a sua volta titolare del trattamento se soddisfa i criteri previsti dal presente regolamento e diventa quindi soggetto agli obblighi di messa a disposizione dei dati previsti dal presente regolamento.

(35) I dati relativi ai prodotti o ai servizi correlati devono essere resi disponibili a terzi solo su richiesta dell'utente. Il presente regolamento integra di conseguenza il diritto, previsto dall'articolo 20 del regolamento (UE) 2016/679, degli interessati di ricevere i dati personali che li riguardano in un formato strutturato, di uso comune e leggibile da dispositivo automatico, nonché di trasmettere tali dati a un altro titolare del trattamento, qualora siano trattati con mezzi automatizzati sulla base dell'articolo 6, paragrafo 1, lettera a), o dell'articolo 9, paragrafo 2, lettera a), o di un contratto ai sensi dell'articolo 6, paragrafo 1, lettera b), di tale regolamento. Gli interessati hanno inoltre il diritto di ottenere la trasmissione dei dati personali direttamente da un responsabile del trattamento a un altro, ma solo se ciò è tecnicamente fattibile. L'articolo 20 del Regolamento (UE) 2016/679 specifica che riguarda i dati forniti dall'interessato, ma non specifica se ciò richieda un comportamento attivo da parte dell'interessato o se si applichi anche a situazioni in cui un prodotto connesso o un servizio correlato, per sua concezione, osservi in modo passivo il comportamento di un interessato o altre informazioni relative a un interessato. I diritti previsti dal presente regolamento integrano in vari modi il diritto di ricevere e portare i dati personali ai sensi dell'articolo 20 del regolamento (UE) 2016/679. Il presente regolamento conferisce agli utenti il diritto di accedere a qualsiasi dato relativo a un prodotto o a un servizio correlato e di metterlo a disposizione di terzi, indipendentemente dalla loro natura di dati personali, dalla distinzione tra dati forniti attivamente o osservati passivamente e dalla base giuridica del trattamento. A differenza dell'articolo 20 del Regolamento (UE) 2016/679, il presente regolamento impone e garantisce la fattibilità tecnica dell'accesso di terzi per tutti i tipi di dati che rientrano nel suo ambito di applicazione, siano essi personali o non personali, assicurando così che gli ostacoli tecnici non impediscano o impediscano più l'accesso a tali dati. Inoltre, consente ai titolari dei dati di stabilire un compenso ragionevole a carico di terzi, ma non dell'utente, per i costi sostenuti nel fornire accesso diretto ai dati generati dal prodotto connesso dell'utente. Se un titolare dei dati e una terza parte non sono in grado di concordare i termini per tale accesso diretto, all'interessato non dovrebbe essere impedito in alcun modo di esercitare i diritti previsti dal Regolamento (UE) 2016/679, compreso il diritto alla portabilità dei dati, chiedendo rimedi in conformità a tale regolamento. In questo contesto va inteso che, ai sensi del Regolamento (UE) 2016/679, un contratto non consente il trattamento di categorie particolari di dati personali da parte del titolare dei dati o di terzi.

(36) L'accesso a qualsiasi dato memorizzato e consultato dalle apparecchiature terminali è soggetto alla direttiva 2002/58/CE e richiede il consenso dell'abbonato o dell'utente ai sensi di tale direttiva, a meno che non sia strettamente necessario per la fornitura di un servizio della società dell'informazione esplicitamente richiesto dall'utente o dall'abbonato o al solo scopo di trasmettere una comunicazione. La direttiva 2002/58/CE protegge l'integrità delle apparecchiature terminali degli utenti per quanto riguarda l'uso delle capacità di elaborazione e memorizzazione e la raccolta di informazioni. Le apparecchiature dell'Internet degli oggetti sono considerate apparecchiature terminali se sono collegate direttamente o indirettamente a una rete di comunicazione pubblica.

(37) Per evitare lo sfruttamento degli utenti, i terzi a cui sono stati resi disponibili i dati su richiesta dell'utente devono trattare tali dati solo per gli scopi concordati con l'utente e condividerli con altri terzi solo con il consenso dell'utente a tale condivisione.

(38) In linea con il principio di minimizzazione dei dati, i terzi devono accedere solo alle informazioni necessarie per la fornitura del servizio richiesto dall'utente. Una volta ottenuto l'accesso ai dati, il terzo deve trattarli per gli scopi concordati con l'utente senza interferenze da parte del titolare dei dati. L'utente deve poter rifiutare o interrompere l'accesso ai dati da parte di terzi con la stessa facilità con cui l'utente autorizza l'accesso. Né i terzi né i titolari dei dati devono rendere indebitamente difficile l'esercizio delle scelte o dei diritti da parte dell'utente, anche offrendo all'utente scelte in modo non neutrale, o costringendo, ingannando o manipolando l'utente, o sovvertendo o compromettendo l'autonomia, il processo decisionale o le scelte dell'utente, anche mediante un'interfaccia digitale dell'utente o parte di essa. In questo contesto, le terze parti o i titolari dei dati non dovrebbero affidarsi ai cosiddetti "dark pattern" nella progettazione delle loro interfacce digitali. I dark pattern sono tecniche di progettazione che spingono o ingannano i consumatori a prendere decisioni che hanno conseguenze negative per loro. Queste tecniche di manipolazione possono essere utilizzate per persuadere gli utenti, in particolare i consumatori vulnerabili, a mettere in atto comportamenti indesiderati, per ingannare gli utenti spingendoli a prendere decisioni sulle transazioni di divulgazione dei dati o per influenzare in modo irragionevole il processo decisionale degli utenti del servizio in modo tale da sovvertire o compromettere la loro autonomia, il loro processo decisionale e la loro scelta. Le pratiche commerciali comuni e legittime che rispettano il diritto dell'Unione non dovrebbero essere considerate di per sé come modelli oscuri. Le terze parti e i titolari dei dati dovrebbero rispettare gli obblighi previsti dal diritto dell'Unione, in particolare i requisiti stabiliti dalle direttive 98/6/CE (24) e 2000/31/CE (25) del Parlamento europeo e del Consiglio e dalle direttive 2005/29/CE e 2011/83/UE.

(39) I terzi devono inoltre astenersi dall'utilizzare i dati che rientrano nell'ambito di applicazione del presente regolamento per profilare le persone, a meno che tali attività di trattamento non siano strettamente necessarie per fornire il servizio richiesto dall'utente, anche nel contesto del processo decisionale automatizzato. L'obbligo di cancellare i dati quando non sono più necessari per le finalità concordate con l'utente, salvo diverso accordo in relazione ai dati non personali, integra il diritto alla cancellazione dell'interessato ai sensi dell'articolo 17 del Regolamento (UE) 2016/679. Qualora un terzo sia un fornitore di un servizio di intermediazione dei dati, si applicano le garanzie per l'interessato previste dal Regolamento (UE) 2022/868. Il terzo può utilizzare i dati per sviluppare un prodotto connesso nuovo e innovativo o un servizio correlato, ma non per sviluppare un prodotto connesso concorrente.

(40) Le start-up, le piccole imprese, le imprese che si qualificano come medie imprese ai sensi dell'articolo 2 dell'allegato alla raccomandazione 2003/361/CE e le imprese dei settori tradizionali con capacità digitali meno sviluppate hanno difficoltà ad accedere ai dati pertinenti. Il presente regolamento mira a facilitare l'accesso ai dati per tali soggetti, garantendo al contempo che gli obblighi corrispondenti siano il più possibile proporzionati per evitare un'eccessiva pressione. Allo stesso tempo, un piccolo numero di imprese molto grandi è emerso con un notevole potere economico nell'economia digitale grazie all'accumulo e all'aggregazione di grandi volumi di dati e all'infrastruttura tecnologica per monetizzarli. Queste imprese molto grandi comprendono imprese che forniscono servizi di piattaforma fondamentali che controllano interi ecosistemi di piattaforma nell'economia digitale e che gli operatori di mercato esistenti o nuovi non sono in grado di sfidare o contestare. Il Regolamento (UE) 2022/1925 del Parlamento europeo e del Consiglio (26) mira a correggere tali inefficienze e squilibri consentendo alla Commissione di designare un'impresa come "gatekeeper" e impone una serie di obblighi a tali gatekeeper, tra cui il divieto di combinare determinati dati senza consenso e l'obbligo di garantire diritti effettivi alla portabilità dei dati ai sensi dell'articolo 20 del Regolamento (UE) 2016/679. In conformità al Regolamento (UE) 2022/1925, e data l'impareggiabile capacità di tali imprese di acquisire dati, non è necessario per conseguire l'obiettivo del presente regolamento, e sarebbe pertanto sproporzionato per i titolari dei dati soggetti a tali obblighi, includere i gatekeeper tra i beneficiari del diritto di accesso ai dati. Tale inclusione limiterebbe probabilmente anche i benefici del presente regolamento per le PMI, legati all'equità della distribuzione del valore dei dati tra gli attori del mercato. Ciò significa che un'impresa che fornisce servizi di piattaforma principale e che è stata designata come gatekeeper non può richiedere o ottenere l'accesso ai dati degli utenti generati dall'uso di un prodotto connesso o di un servizio correlato o da un assistente virtuale ai sensi del presente regolamento. Inoltre, i terzi a cui vengono messi a disposizione i dati su richiesta dell'utente non possono mettere i dati a disposizione di un gatekeeper. Ad esempio, i terzi non possono subappaltare la fornitura del servizio a un gatekeeper. Tuttavia, ciò non impedisce a terzi di utilizzare i servizi di elaborazione dati offerti da un gatekeeper. Né impedisce a tali imprese di ottenere e utilizzare gli stessi dati con altri mezzi leciti. I diritti di accesso previsti dal presente regolamento contribuiscono ad ampliare la scelta dei servizi per i consumatori. Poiché gli accordi volontari tra gatekeeper e titolari dei dati rimangono inalterati, la limitazione della concessione dell'accesso ai gatekeeper non li esclude dal mercato né impedisce loro di offrire i propri servizi.

(41) Considerato l'attuale stato della tecnologia, sarebbe eccessivamente oneroso per le microimprese e le piccole imprese imporre ulteriori obblighi di progettazione in relazione ai prodotti connessi fabbricati o progettati o ai servizi connessi da esse forniti. Non è questo il caso, tuttavia, quando una microimpresa o una piccola impresa ha un'impresa partner o un'impresa collegata ai sensi dell'articolo 3 dell'allegato alla raccomandazione 2003/361/CE che non si qualifica come microimpresa o piccola impresa e alla quale viene subappaltata la fabbricazione o la progettazione di un prodotto connesso o la fornitura di un servizio connesso. In tali situazioni, l'impresa che ha subappaltato la fabbricazione o la progettazione a una microimpresa o a una piccola impresa può compensare adeguatamente il subappaltatore. Una microimpresa o una piccola impresa può comunque essere soggetta ai requisiti stabiliti dal presente regolamento in qualità di titolare dei dati se non è il fabbricante del prodotto connesso o un fornitore di servizi connessi. Un periodo transitorio dovrebbe applicarsi a un'impresa che si è qualificata come media impresa da meno di un anno e ai prodotti connessi per un anno dalla data in cui sono stati immessi sul mercato da una media impresa. Tale periodo di un anno consente a tale media impresa di adattarsi e prepararsi prima di affrontare la concorrenza sul mercato dei servizi per i prodotti connessi che produce sulla base dei diritti di accesso previsti dal presente regolamento. Tale periodo transitorio non si applica se tale media impresa ha un'impresa partner o un'impresa collegata che non si qualifica come microimpresa o piccola impresa o se tale media impresa è stata subappaltata per fabbricare o progettare il prodotto connesso o per fornire il servizio connesso.

(42) Tenendo conto della varietà di prodotti connessi che producono dati di natura, volume e frequenza diversi, che presentano livelli diversi di rischi per i dati e la cibersicurezza e che offrono opportunità economiche di valore diverso, e al fine di garantire la coerenza delle pratiche di condivisione dei dati nel mercato interno, anche tra i vari settori, e di incoraggiare e promuovere pratiche eque di condivisione dei dati anche nei settori in cui non è previsto il diritto di accesso ai dati, il presente regolamento prevede norme orizzontali sulle modalità di accesso ai dati ogniqualvolta un titolare dei dati sia obbligato dal diritto dell'Unione o dalla legislazione nazionale adottata in conformità al diritto dell'Unione a mettere i dati a disposizione di un destinatario. Tale accesso deve essere basato su termini e condizioni equi, ragionevoli, non discriminatori e trasparenti. Tali norme generali di accesso non si applicano agli obblighi di messa a disposizione dei dati ai sensi del Regolamento (UE) 2016/679. La condivisione volontaria dei dati non è interessata da tali norme. I modelli di condizioni contrattuali non vincolanti per la condivisione di dati tra imprese che saranno sviluppati e raccomandati dalla Commissione possono aiutare le parti a concludere contratti che includano termini e condizioni equi, ragionevoli e non discriminatori e che siano attuati in modo trasparente. La conclusione di contratti, che possono includere i termini contrattuali tipo non vincolanti, non dovrebbe significare che il diritto di condividere i dati con terzi sia in alcun modo subordinato all'esistenza di tale contratto. Nel caso in cui le parti non siano in grado di stipulare un contratto sulla condivisione dei dati, anche con il supporto di organismi di risoluzione delle controversie, il diritto di condividere i dati con terzi può essere fatto valere presso le corti o i tribunali nazionali.

(43) Sulla base del principio della libertà contrattuale, le parti devono rimanere libere di negoziare le condizioni precise per la messa a disposizione dei dati nei loro contratti nell'ambito delle norme generali di accesso alla messa a disposizione dei dati. I termini di tali contratti potrebbero includere misure tecniche e organizzative, anche in relazione alla sicurezza dei dati.

(44) Al fine di garantire che le condizioni per l'accesso obbligatorio ai dati siano eque per entrambe le parti di un contratto, le norme generali sui diritti di accesso ai dati devono fare riferimento alla regola per evitare clausole contrattuali abusive.

(45) Qualsiasi accordo concluso nelle relazioni tra imprese per la messa a disposizione dei dati deve essere non discriminatorio tra categorie comparabili di destinatari dei dati, indipendentemente dal fatto che le parti siano grandi imprese o PMI. Per compensare la mancanza di informazioni sulle condizioni contenute nei diversi contratti, che rende difficile per il destinatario dei dati valutare se le condizioni per la messa a disposizione dei dati sono non discriminatorie, dovrebbe essere responsabilità dei titolari dei dati dimostrare che una clausola contrattuale non è discriminatoria. Non si tratta di discriminazione illegale se un titolare dei dati utilizza termini contrattuali diversi per la messa a disposizione dei dati se tali differenze sono giustificate da ragioni oggettive. Tali obblighi non pregiudicano il Regolamento (UE) 2016/679.

(46) Al fine di promuovere la continuità degli investimenti nella produzione e nella messa a disposizione di dati di valore, compresi gli investimenti negli strumenti tecnici pertinenti, evitando al contempo oneri eccessivi sull'accesso e sull'uso dei dati che rendano la condivisione dei dati non più redditizia dal punto di vista commerciale, il presente regolamento contiene il principio secondo cui, nei rapporti tra imprese, i titolari dei dati possono chiedere un compenso ragionevole quando sono obbligati, in virtù del diritto dell'Unione o della legislazione nazionale adottata in conformità al diritto dell'Unione, a mettere i dati a disposizione di un destinatario. Tale compenso non deve essere inteso come un pagamento per i dati stessi. La Commissione dovrebbe adottare linee guida sul calcolo di un compenso ragionevole nell'economia dei dati.

(47) In primo luogo, un compenso ragionevole per l'adempimento dell'obbligo, previsto dal diritto dell'Unione o dalla legislazione nazionale adottata in conformità al diritto dell'Unione, di soddisfare una richiesta di messa a disposizione dei dati può comprendere un compenso per i costi sostenuti per la messa a disposizione dei dati. Tali costi possono essere di natura tecnica, come i costi necessari per la riproduzione dei dati, la diffusione per via elettronica e l'archiviazione, ma non per la raccolta o la produzione dei dati. Tali costi tecnici possono anche includere i costi di elaborazione necessari per rendere disponibili i dati, compresi i costi associati alla formattazione dei dati. I costi relativi alla messa a disposizione dei dati possono includere anche i costi per facilitare le richieste concrete di condivisione dei dati. I costi possono variare anche in base al volume dei dati e alle modalità adottate per renderli disponibili. Gli accordi a lungo termine tra i titolari e i destinatari dei dati, ad esempio attraverso un modello di abbonamento o l'uso di contratti intelligenti, possono ridurre i costi delle transazioni regolari o ripetitive in un rapporto commerciale. I costi legati alla messa a disposizione dei dati sono specifici per una particolare richiesta o condivisi con altre richieste. In quest'ultimo caso, un singolo destinatario dei dati non dovrebbe pagare l'intero costo della messa a disposizione dei dati. In secondo luogo, un compenso ragionevole può anche includere un margine, tranne che per le PMI e le organizzazioni di ricerca senza scopo di lucro. Il margine può variare in base a fattori legati ai dati stessi, come il volume, il formato o la natura dei dati. Può tenere conto dei costi di raccolta dei dati. Un margine può quindi diminuire quando il titolare dei dati ha raccolto i dati per la propria attività senza investimenti significativi o può aumentare quando gli investimenti nella raccolta dei dati ai fini dell'attività del titolare dei dati sono elevati. Può essere limitato o addirittura escluso in situazioni in cui l'uso dei dati da parte del destinatario non influisce sulle attività del titolare. Anche il fatto che i dati siano co-generati da un prodotto connesso di proprietà dell'utente, da lui noleggiato o preso in leasing, potrebbe ridurre l'importo del risarcimento rispetto ad altre situazioni in cui i dati sono generati dal titolare dei dati, ad esempio durante la fornitura di un servizio correlato.

(48) Non è necessario intervenire in caso di condivisione di dati tra grandi imprese o quando il titolare dei dati è una piccola o media impresa e il destinatario dei dati è una grande impresa. In questi casi, si ritiene che le imprese siano in grado di negoziare il compenso entro i limiti di ciò che è ragionevole e non discriminatorio.

(49) Per proteggere le PMI da oneri economici eccessivi che renderebbero commercialmente troppo difficile lo sviluppo e la gestione di modelli di business innovativi, il compenso ragionevole per la messa a disposizione dei dati a loro carico non deve superare i costi direttamente connessi alla messa a disposizione dei dati. Per costi direttamente correlati si intendono i costi attribuibili alle singole richieste, tenendo conto del fatto che le necessarie interfacce tecniche o il relativo software e la connettività devono essere stabiliti su base permanente dal titolare dei dati. Lo stesso regime dovrebbe essere applicato alle organizzazioni di ricerca senza scopo di lucro.

(50) In casi debitamente giustificati, tra cui la necessità di salvaguardare la partecipazione dei consumatori e la concorrenza o di promuovere l'innovazione in determinati mercati, il diritto dell'Unione o la legislazione nazionale adottata in conformità al diritto dell'Unione possono prevedere una compensazione regolamentata per la messa a disposizione di determinati tipi di dati.

(51) La trasparenza è un principio importante per garantire che il compenso richiesto da un titolare dei dati sia ragionevole o, se il destinatario dei dati è una PMI o un'organizzazione di ricerca senza scopo di lucro, che il compenso non superi i costi direttamente connessi alla messa a disposizione dei dati al destinatario dei dati e sia attribuibile alla singola richiesta in questione. Per mettere i destinatari dei dati in condizione di valutare e verificare che il compenso sia conforme ai requisiti del presente regolamento, il titolare dei dati deve fornire al destinatario informazioni sufficientemente dettagliate per il calcolo del compenso.

(52) Garantire l'accesso a metodi alternativi di risoluzione delle controversie nazionali e transfrontaliere che sorgono in relazione alla messa a disposizione dei dati dovrebbe andare a vantaggio dei titolari e dei destinatari dei dati e quindi rafforzare la fiducia nella condivisione dei dati. Qualora le parti non riescano a trovare un accordo su termini e condizioni equi, ragionevoli e non discriminatori per la messa a disposizione dei dati, gli organismi di risoluzione delle controversie dovrebbero offrire alle parti una soluzione semplice, rapida e a basso costo. Sebbene il presente regolamento si limiti a stabilire le condizioni che gli organismi di risoluzione delle controversie devono soddisfare per essere certificati, gli Stati membri sono liberi di adottare qualsiasi norma specifica per la procedura di certificazione, compresa la scadenza o la revoca della certificazione. Le disposizioni del presente regolamento sulla risoluzione delle controversie non dovrebbero obbligare gli Stati membri a istituire organismi di risoluzione delle controversie.

(53) La procedura di risoluzione delle controversie prevista dal presente regolamento è una procedura volontaria che consente agli utenti, ai titolari e ai destinatari dei dati di concordare di sottoporre le loro controversie a organismi di risoluzione delle controversie. Pertanto, le parti devono essere libere di rivolgersi a un organo di risoluzione delle controversie di loro scelta, all'interno o all'esterno degli Stati membri in cui sono stabilite.

(54) Per evitare casi in cui due o più organismi di risoluzione delle controversie siano aditi per la stessa controversia, in particolare in una situazione transfrontaliera, un organismo di risoluzione delle controversie deve poter rifiutare di trattare una richiesta di risoluzione di una controversia che è già stata presentata a un altro organismo di risoluzione delle controversie o a un tribunale di uno Stato membro.

(55) Per garantire l'applicazione uniforme del presente regolamento, gli organi di risoluzione delle controversie devono tenere conto dei modelli di clausole contrattuali non vincolanti che la Commissione deve elaborare e raccomandare, nonché della legislazione dell'Unione o nazionale che specifica gli obblighi di condivisione dei dati o degli orientamenti emanati dalle autorità settoriali per l'applicazione di tale legislazione.

(56) Alle parti di un procedimento di risoluzione delle controversie non deve essere impedito di esercitare i loro diritti fondamentali a un ricorso effettivo e a un processo equo. Pertanto, la decisione di sottoporre una controversia a un organo di risoluzione delle controversie non dovrebbe privare tali parti del diritto di ricorrere a un organo giurisdizionale di uno Stato membro. Gli organi di risoluzione delle controversie dovrebbero rendere pubbliche le relazioni annuali di attività.

(57) I titolari dei dati possono applicare misure tecniche di protezione adeguate per impedire la divulgazione o l'accesso illecito ai dati. Tuttavia, tali misure non devono discriminare tra i destinatari dei dati, né ostacolare l'accesso o l'utilizzo dei dati da parte degli utenti o dei destinatari dei dati. In caso di pratiche abusive da parte di un destinatario di dati, come ad esempio ingannare il titolare dei dati fornendo informazioni false con l'intento di utilizzare i dati per scopi illeciti, tra cui lo sviluppo di un prodotto connesso concorrente sulla base dei dati, il titolare dei dati e, se del caso e se non sono la stessa persona, il titolare del segreto commerciale o l'utente possono richiedere alla terza parte o al destinatario dei dati di attuare misure correttive o di rimedio senza indebito ritardo. Tali richieste, in particolare quelle di porre fine alla produzione, all'offerta o all'immissione sul mercato di beni, dati derivati o servizi, nonché quelle di porre fine all'importazione, all'esportazione, all'immagazzinamento di beni oggetto di violazione o alla loro distruzione, devono essere valutate alla luce della loro proporzionalità rispetto agli interessi del titolare dei dati, del titolare del segreto commerciale o dell'utente.

(58) Quando una parte è in una posizione di contrattazione più forte, c'è il rischio che essa possa far leva su tale posizione a scapito dell'altra parte contraente quando negozia l'accesso ai dati, con il risultato che l'accesso ai dati è commercialmente meno valido e talvolta economicamente proibitivo. Tali squilibri contrattuali danneggiano tutte le imprese che non hanno la possibilità di negoziare le condizioni di accesso ai dati e che potrebbero non avere altra scelta se non quella di accettare le condizioni contrattuali "prendere o lasciare". Pertanto, le clausole contrattuali abusive che regolano l'accesso e l'uso dei dati, o la responsabilità e i rimedi per la violazione o la cessazione degli obblighi relativi ai dati, non dovrebbero essere vincolanti per le imprese quando tali condizioni sono state imposte unilateralmente a tali imprese.

(59) Le norme sulle clausole contrattuali devono tenere conto del principio della libertà contrattuale come concetto essenziale nei rapporti tra imprese. Pertanto, non tutte le clausole contrattuali dovrebbero essere soggette a un test di iniquità, ma solo quelle imposte unilateralmente. Ciò riguarda le situazioni in cui una parte fornisce una determinata clausola contrattuale e l'altra impresa non può influenzare il contenuto di tale clausola nonostante il tentativo di negoziarla. Una clausola contrattuale semplicemente fornita da una parte e accettata dall'altra impresa o una clausola negoziata e successivamente concordata in forma modificata tra le parti contraenti non dovrebbe essere considerata come imposta unilateralmente.

(60) Inoltre, le norme sulle clausole contrattuali abusive devono applicarsi solo agli elementi di un contratto connessi alla messa a disposizione dei dati, ossia alle clausole contrattuali relative all'accesso e all'uso dei dati, nonché alla responsabilità o ai rimedi in caso di violazione e alla cessazione degli obblighi connessi ai dati. Altre parti dello stesso contratto, non correlate alla messa a disposizione dei dati, non dovrebbero essere soggette al test di iniquità previsto dal presente regolamento.

(61) I criteri per individuare le clausole contrattuali abusive devono essere applicati solo alle clausole contrattuali eccessive in cui si è abusato di una posizione negoziale più forte. La grande maggioranza delle clausole contrattuali commercialmente più favorevoli a una parte rispetto all'altra, comprese quelle normali nei contratti tra imprese, sono una normale espressione del principio della libertà contrattuale e continuano ad essere applicate. Ai fini del presente regolamento, una grave deviazione dalle buone pratiche commerciali comprende, tra l'altro, l'oggettiva compromissione della capacità della parte a cui la clausola è stata imposta unilateralmente di proteggere il proprio legittimo interesse commerciale nei dati in questione.

(62) Per garantire la certezza del diritto, il presente regolamento stabilisce un elenco di clausole che sono sempre considerate abusive e un elenco di clausole che si presumono abusive. In quest'ultimo caso, l'impresa che impone la clausola contrattuale deve essere in grado di confutare la presunzione di abusività dimostrando che la clausola contrattuale elencata nel presente regolamento non è abusiva nel caso specifico. Se una clausola contrattuale non è inclusa nell'elenco delle clausole che sono sempre considerate abusive o che si presume siano abusive, si applica la disposizione generale sul carattere abusivo. A questo proposito, le clausole elencate come clausole contrattuali abusive nel presente regolamento dovrebbero servire come parametro per interpretare la clausola generale di abusività. Infine, i modelli di clausole contrattuali non vincolanti per i contratti di condivisione dei dati tra imprese che saranno sviluppati e raccomandati dalla Commissione possono essere utili alle parti commerciali durante la negoziazione dei contratti. Se una clausola contrattuale viene dichiarata abusiva, il contratto in questione dovrebbe continuare ad applicarsi senza tale clausola, a meno che la clausola contrattuale abusiva non sia separabile dalle altre clausole del contratto.

(63) In situazioni di eccezionale necessità, può essere necessario che gli enti pubblici, la Commissione, la Banca centrale europea o gli organismi dell'Unione utilizzino, nell'esercizio delle loro funzioni di legge nel pubblico interesse, i dati esistenti, compresi, se del caso, i metadati che li accompagnano, per rispondere a emergenze pubbliche o in altri casi eccezionali. Per esigenze eccezionali si intendono circostanze imprevedibili e limitate nel tempo, a differenza di altre circostanze che potrebbero essere pianificate, programmate, periodiche o frequenti. La nozione di "titolare dei dati" non comprende, in genere, gli enti pubblici, ma può includere le imprese pubbliche. Anche le organizzazioni che svolgono attività di ricerca e le organizzazioni che finanziano la ricerca potrebbero essere organizzate come enti pubblici o enti di diritto pubblico. Per limitare l'onere sulle imprese, le microimprese e le piccole imprese dovrebbero avere l'obbligo di fornire dati agli enti pubblici, alla Commissione, alla Banca centrale europea o agli organismi dell'Unione solo in situazioni di eccezionale necessità, quando tali dati sono richiesti per rispondere a un'emergenza pubblica e l'ente pubblico, la Commissione, la Banca centrale europea o l'organismo dell'Unione non sono in grado di ottenere tali dati con mezzi alternativi in modo tempestivo ed efficace in condizioni equivalenti.

(64) In caso di emergenze pubbliche, come le emergenze sanitarie, le emergenze derivanti da catastrofi naturali, comprese quelle aggravate dai cambiamenti climatici e dal degrado ambientale, e le gravi catastrofi provocate dall'uomo, come i gravi incidenti di sicurezza informatica, l'interesse pubblico derivante dall'uso dei dati supererà l'interesse dei titolari a disporre liberamente dei dati in loro possesso. In tal caso, i titolari dei dati dovrebbero avere l'obbligo di mettere i dati a disposizione degli enti pubblici, della Commissione, della Banca centrale europea o degli organismi dell'Unione su loro richiesta. L'esistenza di un'emergenza pubblica dovrebbe essere determinata o dichiarata in conformità al diritto dell'Unione o nazionale e sulla base delle procedure pertinenti, comprese quelle delle organizzazioni internazionali competenti. In questi casi, l'ente pubblico deve dimostrare che i dati oggetto della richiesta non possono essere ottenuti in altro modo tempestivo ed efficace e a condizioni equivalenti, ad esempio tramite la fornitura volontaria di dati da parte di un'altra impresa o la consultazione di una banca dati pubblica.

(65) Un'esigenza eccezionale può derivare anche da situazioni non di emergenza. In tali casi, un ente pubblico, la Commissione, la Banca centrale europea o un organismo dell'Unione dovrebbero essere autorizzati a richiedere solo dati non personali. L'ente pubblico dovrebbe dimostrare che i dati sono necessari per l'adempimento di un compito specifico svolto nell'interesse pubblico, esplicitamente previsto dalla legge, come la produzione di statistiche ufficiali o l'attenuazione o il recupero di un'emergenza pubblica. Inoltre, tale richiesta può essere effettuata solo quando l'ente pubblico, la Commissione, la Banca centrale europea o un organismo dell'Unione ha individuato dati specifici che non potrebbero essere altrimenti ottenuti in modo tempestivo ed efficace e a condizioni equivalenti e solo se ha esaurito tutti gli altri mezzi a sua disposizione per ottenere tali dati, come ad esempio l'ottenimento dei dati attraverso accordi volontari, compreso l'acquisto di dati non personali sul mercato offrendo tariffe di mercato, o facendo affidamento su obblighi esistenti di messa a disposizione dei dati o sull'adozione di nuove misure legislative che potrebbero garantire la tempestiva disponibilità dei dati. Dovrebbero applicarsi anche le condizioni e i principi che regolano le richieste, come quelli relativi alla limitazione delle finalità, alla proporzionalità, alla trasparenza e alla limitazione temporale. Nel caso di richieste di dati necessari per la produzione di statistiche ufficiali, l'ente pubblico richiedente deve anche dimostrare se la legge nazionale gli consente di acquistare dati non personali sul mercato.

(66) È opportuno che il presente regolamento non si applichi agli accordi volontari per lo scambio di dati tra soggetti pubblici e privati, compresa la fornitura di dati da parte delle PMI, e non pregiudica gli atti giuridici dell'Unione che prevedono richieste obbligatorie di informazioni da parte di soggetti pubblici a soggetti privati. Il presente regolamento non dovrebbe incidere sugli obblighi di fornitura dei dati da parte dei titolari, motivati da esigenze di natura non eccezionale, in particolare quando la gamma dei dati e dei titolari è nota o quando l'uso dei dati può avvenire su base regolare, come nel caso degli obblighi di comunicazione e degli obblighi relativi al mercato interno. Anche gli obblighi di accesso ai dati per verificare la conformità alle norme applicabili, anche quando gli enti pubblici assegnano il compito di verificare la conformità a soggetti diversi dagli enti pubblici, non dovrebbero essere interessati dal presente regolamento.

(67) Il presente regolamento integra e non pregiudica il diritto dell'Unione e nazionale che prevede l'accesso ai dati a fini statistici e il loro utilizzo, in particolare il regolamento (CE) n. 223/2009 del Parlamento europeo e del Consiglio (27) , nonché gli atti giuridici nazionali relativi alle statistiche ufficiali.

(68) Per l'esercizio dei loro compiti nei settori della prevenzione, dell'indagine, dell'accertamento o del perseguimento di reati penali o amministrativi o dell'esecuzione di sanzioni penali e amministrative, nonché della raccolta di dati a fini fiscali o doganali, gli enti pubblici, la Commissione, la Banca centrale europea o gli organismi dell'Unione dovrebbero avvalersi dei poteri loro conferiti dal diritto dell'Unione o nazionale. Il presente regolamento non incide pertanto sugli atti legislativi relativi alla condivisione, all'accesso e all'uso dei dati in tali settori.

(69) Conformemente all'articolo 6, paragrafi 1 e 3, del regolamento (UE) 2016/679, è necessario un quadro proporzionato, limitato e prevedibile a livello dell'Unione nel fornire la base giuridica per la messa a disposizione dei dati da parte dei titolari, in caso di esigenze eccezionali, a organismi del settore pubblico, alla Commissione, alla Banca centrale europea o a organismi dell'Unione, sia per garantire la certezza del diritto sia per ridurre al minimo gli oneri amministrativi a carico delle imprese. A tal fine, le richieste di dati da parte di organismi del settore pubblico, della Commissione, della Banca centrale europea o di organismi dell'Unione ai titolari di dati devono essere specifiche, trasparenti e proporzionate nella loro portata e granularità. Lo scopo della richiesta e l'uso previsto dei dati richiesti devono essere specifici e chiaramente spiegati, pur consentendo un'adeguata flessibilità all'ente richiedente per svolgere i suoi compiti specifici nell'interesse pubblico. La richiesta deve inoltre rispettare gli interessi legittimi del titolare dei dati a cui è rivolta. L'onere per i titolari dei dati dovrebbe essere ridotto al minimo obbligando gli enti richiedenti a rispettare il principio dell'una sola volta, che impedisce che gli stessi dati vengano richiesti più di una volta da più di un ente pubblico o dalla Commissione, dalla Banca centrale europea o dagli organi dell'Unione. Per garantire la trasparenza, le richieste di dati effettuate dalla Commissione, dalla Banca centrale europea o dagli organi dell'Unione dovrebbero essere rese pubbliche senza ritardi ingiustificati da parte dell'ente richiedente. La Banca centrale europea e gli organi dell'Unione dovrebbero informare la Commissione delle loro richieste. Se la richiesta di dati è stata fatta da un ente del settore pubblico, quest'ultimo dovrebbe informare anche il coordinatore dei dati dello Stato membro in cui ha sede l'ente pubblico. Dovrebbe essere garantita la disponibilità pubblica online di tutte le richieste. Una volta ricevuta la notifica di una richiesta di dati, l'autorità competente può decidere di valutare la legittimità della richiesta ed esercitare le proprie funzioni in relazione all'attuazione e all'applicazione del presente regolamento. Il coordinatore dei dati deve garantire la disponibilità pubblica online di tutte le richieste presentate dagli enti pubblici.

(70) L'obiettivo dell'obbligo di fornire i dati è garantire che gli enti pubblici, la Commissione, la Banca centrale europea o gli organi dell'Unione dispongano delle conoscenze necessarie per rispondere, prevenire o riprendersi da emergenze pubbliche o per mantenere la capacità di adempiere a compiti specifici esplicitamente previsti dalla legge. I dati ottenuti da questi enti possono essere sensibili dal punto di vista commerciale. Pertanto, né il regolamento (UE) 2022/868 né la direttiva (UE) 2019/1024 del Parlamento europeo e del Consiglio (28) dovrebbero applicarsi ai dati resi disponibili ai sensi del presente regolamento e non dovrebbero essere considerati dati aperti disponibili per il riutilizzo da parte di terzi. Ciò non dovrebbe tuttavia pregiudicare l'applicabilità della direttiva (UE) 2019/1024 al riutilizzo di statistiche ufficiali per la cui produzione sono stati utilizzati dati ottenuti ai sensi del presente regolamento, a condizione che il riutilizzo non includa i dati sottostanti. Inoltre, a condizione che siano soddisfatte le condizioni stabilite nel presente regolamento, non dovrebbe essere pregiudicata la possibilità di condividere i dati per condurre ricerche o per lo sviluppo, la produzione e la diffusione di statistiche ufficiali. Gli enti pubblici dovrebbero inoltre essere autorizzati a scambiare i dati ottenuti ai sensi del presente regolamento con altri enti pubblici, con la Commissione, con la Banca centrale europea o con organismi dell'Unione al fine di soddisfare le esigenze eccezionali per le quali i dati sono stati richiesti.

(71) I titolari dei dati devono avere la possibilità di rifiutare una richiesta formulata da un ente pubblico, dalla Commissione, dalla Banca centrale europea o da un organismo dell'Unione o di chiederne la modifica senza ritardi ingiustificati e, in ogni caso, entro un termine di cinque o trenta giorni lavorativi, a seconda della natura della necessità eccezionale invocata nella richiesta. Se del caso, il titolare dei dati dovrebbe avere questa possibilità quando non ha il controllo sui dati richiesti, ossia quando non ha accesso immediato ai dati e non può determinarne la disponibilità. Un motivo valido per non rendere disponibili i dati dovrebbe esistere se si può dimostrare che la richiesta è simile a una richiesta precedentemente presentata per lo stesso scopo da un altro ente pubblico o dalla Commissione, dalla Banca centrale europea o da un organismo dell'Unione e il titolare dei dati non è stato informato della cancellazione dei dati ai sensi del presente regolamento. Il titolare dei dati che rifiuta la richiesta o ne chiede la modifica deve comunicare la relativa motivazione all'ente pubblico, alla Commissione, alla Banca centrale europea o a un organismo dell'Unione che richiede i dati. Qualora i diritti sulle banche dati sui generis di cui alla direttiva 96/9/CE del Parlamento europeo e del Consiglio (29) si applichino in relazione agli insiemi di dati richiesti, i titolari dei dati dovrebbero esercitare i loro diritti in modo tale da non impedire all'ente pubblico, alla Commissione, alla Banca centrale europea o all'organismo dell'Unione di ottenere i dati o di condividerli, in conformità al presente regolamento.

(72) Nel caso di un'esigenza eccezionale connessa a una risposta di emergenza pubblica, gli organismi del settore pubblico devono utilizzare, ove possibile, dati non personali. Nel caso di richieste basate su un'esigenza eccezionale non legata a un'emergenza pubblica, non possono essere richiesti dati personali. Se i dati personali rientrano nell'ambito della richiesta, il titolare dei dati deve renderli anonimi. Qualora sia strettamente necessario includere i dati personali nei dati da mettere a disposizione di un ente pubblico, della Commissione, della Banca centrale europea o di un organismo dell'Unione o qualora l'anonimizzazione risulti impossibile, l'ente che richiede i dati deve dimostrare la stretta necessità e le finalità specifiche e limitate del trattamento. Devono essere rispettate le norme applicabili in materia di protezione dei dati personali. La messa a disposizione dei dati e il loro successivo utilizzo devono essere accompagnati da garanzie per i diritti e gli interessi delle persone interessate da tali dati.

(73) I dati messi a disposizione di organismi del settore pubblico, della Commissione, della Banca centrale europea o di organismi dell'Unione sulla base di un'esigenza eccezionale devono essere utilizzati solo per le finalità per le quali sono stati richiesti, a meno che il titolare dei dati che li ha messi a disposizione non abbia espressamente acconsentito al loro utilizzo per altre finalità. I dati devono essere cancellati una volta che non sono più necessari per le finalità indicate nella richiesta, a meno che non sia stato concordato diversamente, e il titolare dei dati deve esserne informato. Il presente regolamento si basa sui regimi di accesso esistenti nell'Unione e negli Stati membri e non modifica la legislazione nazionale sull'accesso del pubblico ai documenti nel contesto degli obblighi di trasparenza. I dati dovrebbero essere cancellati quando non sono più necessari per adempiere a tali obblighi di trasparenza.

(74) Nel riutilizzare i dati forniti dai titolari dei dati, gli organismi del settore pubblico, la Commissione, la Banca centrale europea o gli organismi dell'Unione devono rispettare sia il diritto dell'Unione o nazionale vigente sia gli obblighi contrattuali a cui è soggetto il titolare dei dati. Dovrebbero astenersi dallo sviluppare o migliorare un prodotto connesso o un servizio correlato in concorrenza con il prodotto connesso o il servizio correlato del titolare dei dati, nonché dal condividere i dati con terzi per tali scopi. Dovrebbero inoltre fornire un riconoscimento pubblico ai titolari dei dati su loro richiesta e dovrebbero essere responsabili della sicurezza dei dati ricevuti. Qualora la divulgazione di segreti commerciali del titolare dei dati a organismi del settore pubblico, alla Commissione, alla Banca centrale europea o a organismi dell'Unione sia strettamente necessaria per raggiungere lo scopo per cui i dati sono stati richiesti, la riservatezza di tale divulgazione dovrebbe essere garantita prima della divulgazione dei dati.

(75) Quando è in gioco la salvaguardia di un bene pubblico significativo, come la risposta alle emergenze pubbliche, l'ente pubblico, la Commissione, la Banca centrale europea o l'organismo dell'Unione interessato non dovrebbero essere tenuti a compensare le imprese per i dati ottenuti. Le emergenze pubbliche sono eventi rari e non tutte richiedono l'uso dei dati in possesso delle imprese. Allo stesso tempo, l'obbligo di fornire dati potrebbe costituire un onere considerevole per le microimprese e le piccole imprese. Pertanto, esse dovrebbero essere autorizzate a chiedere un risarcimento anche nel contesto di una risposta a un'emergenza pubblica. È quindi improbabile che le attività commerciali dei titolari dei dati subiscano ripercussioni negative a causa del ricorso al presente regolamento da parte degli enti pubblici, della Commissione, della Banca centrale europea o degli organi dell'Unione. Tuttavia, poiché i casi di necessità eccezionale, diversi dai casi di risposta alle emergenze pubbliche, potrebbero essere più frequenti, i titolari dei dati dovrebbero in tali casi avere diritto a un indennizzo ragionevole che non dovrebbe superare i costi tecnici e organizzativi sostenuti per soddisfare la richiesta e il margine ragionevole richiesto per mettere i dati a disposizione dell'ente pubblico, della Commissione, della Banca centrale europea o dell'organismo dell'Unione. L'indennizzo non deve essere inteso come un pagamento per i dati stessi o come un obbligo. I titolari dei dati non dovrebbero poter chiedere un risarcimento qualora la legislazione nazionale impedisca agli istituti nazionali di statistica o ad altre autorità nazionali responsabili della produzione di statistiche di compensare i titolari dei dati per la loro messa a disposizione. L'ente pubblico, la Commissione, la Banca centrale europea o l'organismo dell'Unione interessato dovrebbero poter contestare il livello di compensazione richiesto dal titolare dei dati, sottoponendo la questione all'autorità competente dello Stato membro in cui il titolare dei dati è stabilito.

(76) Un ente pubblico, la Commissione, la Banca centrale europea o un organismo dell'Unione dovrebbero avere il diritto di condividere i dati ottenuti in base alla richiesta con altri enti o persone quando ciò è necessario per svolgere attività di ricerca scientifica o attività analitiche che non possono svolgere direttamente, a condizione che tali attività siano compatibili con la finalità per cui i dati sono stati richiesti. Dovrebbe informare tempestivamente il titolare dei dati di tale condivisione. Nelle stesse circostanze, tali dati possono essere condivisi con gli istituti nazionali di statistica e con Eurostat per lo sviluppo, la produzione e la diffusione di statistiche ufficiali. Tali attività di ricerca devono tuttavia essere compatibili con lo scopo per cui i dati sono stati richiesti e il titolare dei dati deve essere informato dell'ulteriore condivisione dei dati che ha fornito. Le persone che conducono ricerche o le organizzazioni di ricerca con cui tali dati possono essere condivisi dovrebbero agire senza scopo di lucro o nel contesto di una missione di interesse pubblico riconosciuta dallo Stato. Le organizzazioni su cui le imprese commerciali esercitano un'influenza significativa, consentendo a tali imprese di esercitare un controllo dovuto a situazioni strutturali che potrebbero comportare un accesso preferenziale ai risultati della ricerca, non dovrebbero essere considerate organizzazioni di ricerca ai fini del presente regolamento.

(77) Per far fronte a un'emergenza pubblica transfrontaliera o a un'altra esigenza eccezionale, le richieste di dati possono essere rivolte a titolari di dati in Stati membri diversi da quello dell'ente pubblico richiedente. In tal caso, l'ente pubblico richiedente deve informare l'autorità competente dello Stato membro in cui è stabilito il titolare dei dati per consentirle di esaminare la richiesta in base ai criteri stabiliti nel presente regolamento. Lo stesso dovrebbe valere per le richieste presentate dalla Commissione, dalla Banca centrale europea o da un organismo dell'Unione. In caso di richiesta di dati personali, l'ente pubblico dovrebbe informare l'autorità di controllo responsabile del monitoraggio dell'applicazione del Regolamento (UE) 2016/679 nello Stato membro in cui è stabilito l'ente pubblico. L'autorità competente interessata dovrebbe essere autorizzata a consigliare all'ente pubblico, alla Commissione, alla Banca centrale europea o all'organismo dell'Unione di cooperare con gli enti pubblici dello Stato membro in cui è stabilito il titolare dei dati sulla necessità di garantire un onere amministrativo minimo per il titolare dei dati. Se l'autorità competente ha obiezioni motivate in merito alla conformità della richiesta al presente regolamento, deve respingere la richiesta dell'ente pubblico, della Commissione, della Banca centrale europea o dell'organismo dell'Unione, che deve tenerne conto prima di intraprendere qualsiasi altra azione, compresa la ripresentazione della richiesta.

(78) La possibilità per i clienti dei servizi di elaborazione dati, compresi i servizi cloud e edge, di passare da un servizio di elaborazione dati a un altro mantenendo una funzionalità minima del servizio e senza tempi di inattività dei servizi, o di utilizzare i servizi di diversi fornitori simultaneamente senza ostacoli eccessivi e costi di trasferimento dei dati, è una condizione fondamentale per un mercato più competitivo con minori barriere all'ingresso per i nuovi fornitori di servizi di elaborazione dati e per garantire un'ulteriore resilienza per gli utenti di tali servizi. I clienti che beneficiano di offerte a livello libero dovrebbero anche beneficiare delle disposizioni per il cambio di fornitore previste dal presente regolamento, in modo che tali offerte non comportino una situazione di lock-in per i clienti.

(79) Il regolamento (UE) 2018/1807 del Parlamento europeo e del Consiglio (30) incoraggia i fornitori di servizi di elaborazione dati a sviluppare e ad attuare efficacemente codici di condotta autoregolamentati che contemplino le migliori pratiche per facilitare, tra l'altro, il cambio di fornitore di servizi di elaborazione dati e la portabilità dei dati. Data la scarsa diffusione dei quadri di autoregolamentazione sviluppati in risposta e la generale indisponibilità di standard e interfacce aperte, è necessario adottare una serie di obblighi normativi minimi per i fornitori di servizi di elaborazione dati, al fine di eliminare gli ostacoli pre-commerciali, commerciali, tecnici, contrattuali e organizzativi, che non si limitano alla ridotta velocità di trasferimento dei dati all'uscita del cliente, che impediscono un efficace passaggio da un servizio di elaborazione dati all'altro.

(80) I servizi di elaborazione dati devono comprendere i servizi che consentono l'accesso in rete onnipresente e su richiesta a un pool condiviso configurabile, scalabile ed elastico di risorse informatiche distribuite. Tali risorse informatiche comprendono risorse quali reti, server o altre infrastrutture virtuali o fisiche, software, compresi strumenti di sviluppo software, archiviazione, applicazioni e servizi. La capacità del cliente del servizio di elaborazione dati di auto-provvedere unilateralmente alle capacità di calcolo, come il tempo del server o lo storage di rete, senza alcuna interazione umana da parte del fornitore di servizi di elaborazione dati potrebbe essere descritta come un'attività che richiede uno sforzo di gestione minimo e che comporta un'interazione minima tra fornitore e cliente. Il termine "ubiquo" è utilizzato per descrivere le capacità informatiche fornite in rete e accessibili attraverso meccanismi che promuovono l'uso di piattaforme client eterogenee sottili o spesse (dai browser web ai dispositivi mobili e alle stazioni di lavoro). Il termine "scalabile" si riferisce a risorse informatiche che vengono allocate in modo flessibile dal fornitore di servizi di elaborazione dati, indipendentemente dalla posizione geografica delle risorse, al fine di gestire le fluttuazioni della domanda. Il termine "elastico" è usato per descrivere quelle risorse informatiche che vengono fornite e rilasciate in base alla domanda, in modo da aumentare o diminuire rapidamente le risorse disponibili a seconda del carico di lavoro. Il termine "pool condiviso" è utilizzato per descrivere le risorse informatiche fornite a più utenti che condividono un accesso comune al servizio, ma in cui l'elaborazione viene eseguita separatamente per ciascun utente, sebbene il servizio sia fornito dalla stessa apparecchiatura elettronica. Il termine "distribuito" è usato per descrivere quelle risorse informatiche che si trovano su diversi computer o dispositivi collegati in rete e che comunicano e si coordinano tra loro tramite il passaggio di messaggi. Il termine "altamente distribuito" è utilizzato per descrivere i servizi di elaborazione dati che prevedono l'elaborazione dei dati più vicino al luogo in cui vengono generati o raccolti, ad esempio in un dispositivo di elaborazione dati collegato. L'edge computing, che è una forma di elaborazione dati altamente distribuita, dovrebbe generare nuovi modelli di business e di fornitura di servizi cloud, che dovrebbero essere aperti e interoperabili fin dall'inizio.

(81) Il concetto generico di "servizi di elaborazione dati" comprende un numero considerevole di servizi con una gamma molto ampia di scopi, funzionalità e configurazioni tecniche diverse. Come comunemente inteso da fornitori e utenti e in linea con gli standard ampiamente utilizzati, i servizi di elaborazione dati rientrano in uno o più dei seguenti tre modelli di fornitura di servizi di elaborazione dati, ovvero Infrastructure as a Service (IaaS), Platform as a service (PaaS) e Software as a Service (SaaS). Questi modelli di fornitura di servizi rappresentano una combinazione specifica e preconfezionata di risorse ICT offerte da un fornitore di servizi di elaborazione dati. Questi tre modelli fondamentali di fornitura di servizi di elaborazione dati sono ulteriormente integrati da varianti emergenti, ciascuna delle quali comprende una combinazione distinta di risorse ICT, come Storage as a Service e Database as a Service. I servizi di elaborazione dati possono essere classificati in modo più granulare e suddivisi in un elenco non esaustivo di insiemi di servizi di elaborazione dati che condividono lo stesso obiettivo primario e le stesse funzionalità principali, nonché lo stesso tipo di modelli di elaborazione dati, che non sono correlati alle caratteristiche operative del servizio (stesso tipo di servizio). I servizi che rientrano nello stesso tipo di servizio possono condividere lo stesso modello di servizio di elaborazione dati; tuttavia, due database potrebbero sembrare condividere lo stesso obiettivo primario, ma dopo aver considerato il loro modello di elaborazione dati, il modello di distribuzione e i casi d'uso a cui sono destinati, tali database potrebbero rientrare in una sottocategoria più granulare di servizi simili. I servizi dello stesso tipo possono avere caratteristiche diverse e concorrenti, come le prestazioni, la sicurezza, la resilienza e la qualità del servizio.

(82) Il fatto di compromettere l'estrazione dei dati esportabili appartenenti al cliente dal fornitore di servizi di elaborazione dati di origine può ostacolare il ripristino delle funzionalità del servizio nell'infrastruttura del fornitore di servizi di elaborazione dati di destinazione. Per facilitare la strategia di uscita del cliente, evitare compiti inutili e onerosi e garantire che il cliente non perda nessuno dei suoi dati come conseguenza del processo di cambiamento, il fornitore di servizi di elaborazione dati di origine dovrebbe informare il cliente in anticipo dell'ambito dei dati che possono essere esportati una volta che il cliente decide di passare a un servizio diverso fornito da un altro fornitore di servizi di elaborazione dati o di passare a un'infrastruttura ICT on-premise. L'ambito dei dati esportabili dovrebbe includere, come minimo, i dati di input e output, compresi i metadati, direttamente o indirettamente generati, o cogenerati, dall'uso del servizio di elaborazione dati da parte del cliente, escludendo qualsiasi asset o dato del fornitore di servizi di elaborazione dati o di terzi. I dati esportabili dovrebbero escludere qualsiasi bene o dato del fornitore di servizi di elaborazione dati o della terza parte che sia protetto da diritti di proprietà intellettuale o che costituisca un segreto commerciale del fornitore o della terza parte, o dati relativi all'integrità e alla sicurezza del servizio, la cui esportazione esporrebbe i fornitori di servizi di elaborazione dati a vulnerabilità di sicurezza informatica. Queste esenzioni non dovrebbero ostacolare o ritardare il processo di cambiamento.

(83) I beni digitali si riferiscono a elementi in forma digitale per i quali il cliente ha il diritto di utilizzo, comprese le applicazioni e i metadati relativi alla configurazione delle impostazioni, alla sicurezza e alla gestione dei diritti di accesso e controllo, e altri elementi come le manifestazioni delle tecnologie di virtualizzazione, comprese le macchine virtuali e i container. Gli asset digitali possono essere trasferiti se il cliente ha il diritto di utilizzo indipendentemente dal rapporto contrattuale con il servizio di elaborazione dati da cui intende passare. Questi altri elementi sono essenziali per l'uso efficace dei dati e delle applicazioni del cliente nell'ambiente del fornitore di servizi di elaborazione dati di destinazione.

(84) Il presente regolamento mira a facilitare il passaggio da un servizio di elaborazione dati all'altro, il che comprende le condizioni e le azioni necessarie affinché un cliente possa risolvere un contratto per un servizio di elaborazione dati, concludere uno o più nuovi contratti con diversi fornitori di servizi di elaborazione dati, trasferire i propri dati e beni digitali esportabili e, se del caso, beneficiare dell'equivalenza funzionale.

(85) Il cambio di fornitore è un'operazione guidata dal cliente che consiste in diverse fasi, tra cui l'estrazione dei dati, che si riferisce al download dei dati dall'ecosistema del fornitore di origine dei servizi di elaborazione dati; la trasformazione, in cui i dati sono strutturati in un modo che non corrisponde allo schema del luogo di destinazione; e il caricamento dei dati in un nuovo luogo di destinazione. In una situazione specifica delineata nel presente regolamento, anche la disaggregazione di un particolare servizio dal contratto e il suo trasferimento a un altro fornitore dovrebbero essere considerati come un cambio di fornitore. Il processo di cambio di fornitore è talvolta gestito per conto del cliente da un'entità terza. Di conseguenza, tutti i diritti e gli obblighi del cliente stabiliti dal presente regolamento, compreso l'obbligo di cooperare in buona fede, devono essere intesi come applicabili a tale entità terza in tali circostanze. I fornitori di servizi di elaborazione dati e i clienti hanno diversi livelli di responsabilità, a seconda delle fasi del processo a cui si fa riferimento. Ad esempio, il fornitore di servizi di elaborazione dati alla fonte è responsabile dell'estrazione dei dati in un formato leggibile dalla macchina, ma sono il cliente e il fornitore di servizi di elaborazione dati di destinazione che devono caricare i dati nel nuovo ambiente, a meno che non sia stato ottenuto un servizio di transizione professionale specifico. Un cliente che intenda esercitare i diritti relativi al cambio di fornitore, previsti dal presente regolamento, deve informare il fornitore di servizi di elaborazione dati di origine della decisione di passare a un altro fornitore di servizi di elaborazione dati, di passare a un'infrastruttura TIC on-premise o di eliminare gli asset del cliente e cancellare i suoi dati esportabili.

(86) Per equivalenza funzionale si intende il ripristino, sulla base dei dati e degli asset digitali esportabili del cliente, di un livello minimo di funzionalità nell'ambiente di un nuovo servizio di elaborazione dati dello stesso tipo di servizio dopo il cambio di fornitore, laddove il servizio di elaborazione dati di destinazione fornisca un risultato materialmente comparabile in risposta agli stessi input per le funzionalità condivise fornite al cliente nell'ambito del contratto. I fornitori di servizi di elaborazione dati possono essere tenuti a facilitare l'equivalenza funzionale solo per le caratteristiche che i servizi di elaborazione dati di origine e di destinazione offrono indipendentemente. Il presente regolamento non costituisce un obbligo di facilitare l'equivalenza funzionale per i fornitori di servizi di elaborazione dati diversi da quelli che offrono servizi del modello di fornitura IaaS.

(87) I servizi di elaborazione dati sono utilizzati in diversi settori e variano per complessità e tipo di servizio. Questa è una considerazione importante per quanto riguarda il processo di portabilità e le tempistiche. Tuttavia, una proroga del periodo transitorio a causa dell'impossibilità tecnica di portare a termine il processo di trasferimento nei tempi previsti dovrebbe essere invocata solo in casi debitamente giustificati. L'onere della prova a tale riguardo dovrebbe ricadere interamente sul fornitore del servizio di elaborazione dati in questione. Ciò non pregiudica il diritto esclusivo del cliente di prorogare una volta il periodo transitorio per un periodo che il cliente ritiene più adeguato ai propri scopi. Il cliente può esercitare tale diritto di proroga prima o durante il periodo transitorio, tenendo conto che il contratto rimane applicabile durante il periodo transitorio.

(88) Gli oneri di commutazione sono oneri imposti dai fornitori di servizi di elaborazione dati ai clienti per il processo di commutazione. In genere, tali oneri sono destinati a trasferire al cliente che desidera cambiare fornitore di servizi di elaborazione dati i costi che quest'ultimo può sostenere a causa del processo di cambiamento. Esempi comuni di spese di passaggio sono i costi relativi al transito dei dati da un fornitore di servizi di elaborazione dati a un altro o a un'infrastruttura TIC in sede (spese di uscita dei dati) o i costi sostenuti per azioni di supporto specifiche durante il processo di passaggio. Costi di uscita dei dati inutilmente elevati e altri costi ingiustificati non correlati agli effettivi costi di passaggio inibiscono i clienti dal cambiare fornitore, limitano il libero flusso di dati, hanno il potenziale di limitare la concorrenza e causano effetti di lock-in per i clienti, riducendo gli incentivi a scegliere un fornitore di servizi diverso o aggiuntivo. I costi di passaggio dovrebbero pertanto essere aboliti dopo tre anni dalla data di entrata in vigore del presente regolamento. I fornitori di servizi di elaborazione dati dovrebbero essere in grado di imporre tariffe di passaggio ridotte fino a tale data.

(89) È opportuno che il fornitore iniziale di servizi di elaborazione dati possa esternalizzare alcuni compiti e compensare soggetti terzi al fine di adempiere agli obblighi previsti dal presente regolamento. Un cliente non dovrebbe sostenere i costi derivanti dall'esternalizzazione dei servizi conclusi dal fornitore originario di servizi di elaborazione dati durante il processo di cambio di fornitore e tali costi dovrebbero essere considerati ingiustificati, a meno che non coprano il lavoro svolto dal fornitore di servizi di elaborazione dati su richiesta del cliente per un supporto aggiuntivo nel processo di cambio di fornitore che vada oltre gli obblighi di cambio di fornitore come espressamente previsto dal presente regolamento. Nessuna disposizione del presente regolamento impedisce a un cliente di compensare entità terze per il supporto nel processo di migrazione o alle parti di concordare contratti per servizi di elaborazione dati di durata fissa, comprese penali di risoluzione anticipata proporzionate per coprire la risoluzione anticipata di tali contratti, in conformità al diritto dell'Unione o nazionale. Al fine di promuovere la concorrenza, il ritiro graduale degli oneri associati al passaggio tra diversi fornitori di servizi di elaborazione dati dovrebbe includere specificamente gli oneri di uscita dei dati imposti da un fornitore di servizi di elaborazione dati a un cliente. StandardStandard Per "norma" si intende una specifica tecnica, adottata da un organismo di normalizzazione riconosciuto, per applicazione ripetuta o continua, la cui osservanza non è obbligatoria e che è una delle seguenti: (a) "norma internazionale": una norma adottata da un organismo internazionale di normalizzazione; (b) "norma europea": una norma adottata da un organismo europeo di normalizzazione; (c) "norma armonizzata": una norma europea adottata sulla base di una richiesta presentata dalla Commissione per l'applicazione della normativa di armonizzazione dell'Unione; (d) "norma nazionale": una norma adottata da un organismo nazionale di normalizzazione - Definizione ai sensi dell'articolo 2, punto (1), del regolamento (UE) n. 1025/2012 del Parlamento europeo e del Consiglio. I canoni di servizio per la fornitura dei servizi di elaborazione dei dati in sé non sono spese di commutazione. Tali tariffe standard non sono soggette a recesso e rimangono applicabili fino alla cessazione del contratto per la fornitura dei servizi in questione. Il presente regolamento consente al cliente di richiedere la fornitura di servizi aggiuntivi che vanno oltre gli obblighi di cambio di fornitore ai sensi del presente regolamento. Tali servizi aggiuntivi possono essere eseguiti e addebitati dal fornitore quando sono eseguiti su richiesta del cliente e il cliente accetta il prezzo di tali servizi in anticipo.

(90) È necessario un approccio normativo all'interoperabilità ambizioso e capace di stimolare l'innovazione per superare il vendor lock-in, che mina la concorrenza e lo sviluppo di nuovi servizi. L'interoperabilità tra i servizi di elaborazione dati coinvolge molteplici interfacce e livelli di infrastrutture e software e raramente si limita a un test binario di realizzabilità o meno. La realizzazione di tale interoperabilità è invece soggetta a un'analisi costi-benefici, necessaria per stabilire se valga la pena perseguire risultati ragionevolmente prevedibili. La norma ISO/IEC 19941:2017 è un importante standard internazionale che costituisce un riferimento per il raggiungimento degli obiettivi del presente regolamento, in quanto contiene considerazioni tecniche che chiariscono la complessità di tale processo.

(91) Se i fornitori di servizi di elaborazione dati sono a loro volta clienti di servizi di elaborazione dati forniti da un fornitore terzo, essi beneficeranno di un cambiamento più efficace, pur rimanendo vincolati agli obblighi del presente regolamento per quanto riguarda le loro offerte di servizi.

(92) I fornitori di servizi di elaborazione dati devono essere tenuti a offrire tutta l'assistenza e il sostegno di cui dispongono, proporzionati ai rispettivi obblighi, per far sì che il processo di passaggio a un servizio di un altro fornitore di servizi di elaborazione dati abbia successo, sia efficace e sicuro. Il presente regolamento non impone ai fornitori di servizi di elaborazione dati di sviluppare nuove categorie di servizi di elaborazione dati, anche all'interno o sulla base dell'infrastruttura TIC di diversi fornitori di servizi di elaborazione dati, al fine di garantire l'equivalenza funzionale in un ambiente diverso dai propri sistemi. Un fornitore di servizi di elaborazione dati all'origine non ha accesso all'ambiente del fornitore di servizi di elaborazione dati di destinazione, né ha la possibilità di conoscerlo. L'equivalenza funzionale non deve essere intesa come un obbligo per il fornitore di servizi di elaborazione dati di origine di ricostruire il servizio in questione all'interno dell'infrastruttura del fornitore di servizi di elaborazione dati di destinazione. Al contrario, il fornitore originario di servizi di elaborazione dati dovrebbe adottare tutte le misure ragionevoli in suo potere per facilitare il processo di raggiungimento dell'equivalenza funzionale attraverso la fornitura di capacità, informazioni adeguate, documentazione, supporto tecnico e, se del caso, degli strumenti necessari.

(93) I fornitori di servizi di elaborazione dati devono inoltre essere tenuti a rimuovere gli ostacoli esistenti e a non imporne di nuovi, anche per i clienti che desiderano passare a un'infrastruttura TIC on-premise. Gli ostacoli possono essere, tra l'altro, di natura pre-commerciale, commerciale, tecnica, contrattuale o organizzativa. I fornitori di servizi di elaborazione dati dovrebbero anche essere tenuti a rimuovere gli ostacoli alla disaggregazione di uno specifico servizio individuale da altri servizi di elaborazione dati forniti nell'ambito di un contratto e a rendere il servizio in questione disponibile per il passaggio, in assenza di importanti e comprovati ostacoli tecnici che impediscano tale disaggregazione.

(94) Durante l'intero processo di trasferimento, è necessario mantenere un elevato livello di sicurezza. Ciò significa che il fornitore di servizi di elaborazione dati alla fonte dovrebbe estendere il livello di sicurezza a cui si è impegnato per il servizio a tutte le disposizioni tecniche di cui tale fornitore è responsabile durante il processo di cambio, come le connessioni di rete o i dispositivi fisici. I diritti esistenti in materia di risoluzione dei contratti, compresi quelli introdotti dal regolamento (UE) 2016/679 e dalla direttiva (UE) 2019/770 del Parlamento europeo e del Consiglio (31), non dovrebbero essere interessati. Il presente regolamento non deve essere inteso come un divieto per un fornitore di servizi di elaborazione dati di fornire ai clienti servizi, caratteristiche e funzionalità nuove e migliorate o di competere con altri fornitori di servizi di elaborazione dati su tale base.

(95) Le informazioni che i fornitori di servizi di elaborazione dati devono fornire al cliente potrebbero supportare la strategia di uscita del cliente. Tali informazioni dovrebbero includere le procedure per avviare il passaggio dal servizio di elaborazione dati; i formati di dati leggibili meccanicamente in cui è possibile esportare i dati dell'utente; gli strumenti destinati all'esportazione dei dati, comprese le interfacce aperte e le informazioni sulla compatibilità con gli standard armonizzati o le specifiche comuni basate su specifiche di interoperabilità aperte; le informazioni sulle restrizioni e le limitazioni tecniche note che potrebbero avere un impatto sul processo di passaggio; il tempo stimato necessario per completare il processo di passaggio.

(96) Per facilitare l'interoperabilità e il passaggio da un servizio di elaborazione dati all'altro, gli utenti e i fornitori di servizi di elaborazione dati dovrebbero prendere in considerazione l'uso di strumenti di attuazione e conformità, in particolare quelli pubblicati dalla Commissione sotto forma di un libro di regole dell'UE sul cloud e di una guida sugli appalti pubblici di servizi di elaborazione dati. In particolare, le clausole contrattuali standard sono vantaggiose perché aumentano la fiducia nei servizi di elaborazione dati, creano un rapporto più equilibrato tra utenti e fornitori di servizi di elaborazione dati e migliorano la certezza del diritto per quanto riguarda le condizioni applicabili al passaggio ad altri servizi di elaborazione dati. In tale contesto, gli utenti e i fornitori di servizi di elaborazione dati dovrebbero prendere in considerazione l'uso di clausole contrattuali standard o di altri strumenti di autoregolamentazione, a condizione che siano pienamente conformi al presente regolamento, elaborati dagli organismi competenti o dai gruppi di esperti istituiti dal diritto dell'Unione.

(97) Per agevolare il passaggio da un servizio di elaborazione dati all'altro, tutte le parti coinvolte, compresi i fornitori di servizi di elaborazione dati all'origine e a destinazione, devono cooperare in buona fede per rendere efficace il processo di passaggio, consentire il trasferimento sicuro e tempestivo dei dati necessari in un formato comunemente utilizzato e leggibile da una macchina e mediante interfacce aperte, evitando nel contempo interruzioni del servizio e mantenendo la continuità del servizio.

(98) I servizi di elaborazione dati che riguardano servizi di cui la maggior parte delle caratteristiche principali è stata costruita su misura per rispondere alle esigenze specifiche di un singolo cliente o in cui tutti i componenti sono stati sviluppati ai fini di un singolo cliente devono essere esentati da alcuni degli obblighi applicabili alla commutazione dei servizi di elaborazione dati. Ciò non dovrebbe includere i servizi che il fornitore di servizi di elaborazione dati offre su ampia scala commerciale attraverso il suo catalogo di servizi. Il fornitore di servizi di elaborazione dati ha l'obbligo di informare debitamente i potenziali clienti di tali servizi, prima della conclusione di un contratto, degli obblighi previsti dal presente regolamento che non si applicano ai servizi in questione. Nulla impedisce al fornitore di servizi di elaborazione dati di distribuire eventualmente tali servizi su scala, nel qual caso dovrebbe rispettare tutti gli obblighi di cambio di fornitore previsti dal presente regolamento.

(99) In linea con il requisito minimo che consente di passare da un fornitore all'altro di servizi di elaborazione dati, il presente regolamento mira anche a migliorare l'interoperabilità per l'uso in parallelo di più servizi di elaborazione dati con funzionalità complementari. Si tratta di situazioni in cui i clienti non risolvono un contratto per passare a un altro fornitore di servizi di elaborazione dati, ma in cui più servizi di fornitori diversi vengono utilizzati in parallelo, in modo interoperabile, per beneficiare delle funzionalità complementari dei diversi servizi nella configurazione del sistema del cliente. Tuttavia, si riconosce che l'uscita dei dati da un fornitore di servizi di elaborazione dati a un altro per facilitare l'uso in parallelo dei servizi può essere un'attività continua, a differenza dell'uscita una tantum richiesta come parte del processo di cambiamento. I fornitori di servizi di elaborazione dati dovrebbero pertanto poter continuare a imporre tariffe di uscita dei dati, non superiori ai costi sostenuti, ai fini dell'uso in parallelo dopo tre anni dalla data di entrata in vigore del presente regolamento. Ciò è importante, tra l'altro, per il successo delle strategie multi-cloud, che consentono ai clienti di implementare strategie ICT a prova di futuro e che riducono la dipendenza dai singoli fornitori di servizi di elaborazione dati. Facilitare un approccio multi-cloud per i clienti dei servizi di elaborazione dati può anche contribuire ad aumentare la loro resilienza operativa digitale, come riconosciuto per gli istituti di servizi finanziari nel Regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio (32).

(100) Le specifiche e le norme di interoperabilità aperte sviluppate in conformità all'allegato II del regolamento (UE) n. 1025/2012 del Parlamento europeo e del Consiglio (33) nel campo dell'interoperabilità e della portabilità dovrebbero consentire un ambiente cloud multivendor, che è un requisito fondamentale per l'innovazione aperta nell'economia dei dati europea. Poiché l'adozione da parte del mercato degli standard individuati nell'ambito dell'iniziativa di coordinamento della standardizzazione del cloud (CSC), conclusa nel 2016, è stata limitata, è necessario che la Commissione si affidi alle parti del mercato per sviluppare specifiche di interoperabilità aperte e pertinenti, per tenere il passo con il rapido sviluppo tecnologico di questo settore. Tali specifiche di interoperabilità aperte possono poi essere adottate dalla Commissione sotto forma di specifiche comuni. Inoltre, laddove i processi guidati dal mercato non abbiano dimostrato la capacità di stabilire specifiche o standard comuni che facilitino un'efficace interoperabilità del cloud a livello di PaaS e SaaS, la Commissione dovrebbe essere in grado, sulla base del presente regolamento e in conformità al regolamento (UE) n. 1025/2012, di richiedere agli organismi europei di standardizzazione di sviluppare tali standard per specifici tipi di servizio laddove tali standard non esistano ancora. Inoltre, la Commissione incoraggerà le parti del mercato a sviluppare specifiche di interoperabilità aperte. Dopo aver consultato le parti interessate, la Commissione, mediante atti di esecuzione, dovrebbe essere in grado di imporre l'uso di norme armonizzate per l'interoperabilità o di specifiche comuni per tipi di servizi specifici mediante un riferimento in un archivio centrale di norme dell'Unione per l'interoperabilità dei servizi di elaborazione dati. I fornitori di servizi di elaborazione dati dovrebbero garantire la compatibilità con tali norme armonizzate e specifiche comuni basate su specifiche di interoperabilità aperte, che non dovrebbero avere un impatto negativo sulla sicurezza o sull'integrità dei dati. Le norme armonizzate per l'interoperabilità dei servizi di elaborazione dati e le specifiche comuni basate su specifiche di interoperabilità aperte saranno referenziate solo se conformi ai criteri specificati nel presente regolamento, che hanno lo stesso significato dei requisiti di cui all'allegato II del regolamento (UE) n. 1025/2012 e delle sfaccettature di interoperabilità definite nella norma internazionale ISO/IEC 19941:2017. Inoltre, la standardizzazione dovrebbe tenere conto delle esigenze delle PMI.

(101) I paesi terzi possono adottare leggi, regolamenti e altri atti giuridici volti a trasferire direttamente o a fornire un accesso governativo ai dati non personali situati al di fuori dei loro confini, anche nell'Unione. Le sentenze di tribunali o le decisioni di altre autorità giudiziarie o amministrative, comprese le autorità incaricate dell'applicazione della legge nei paesi terzi, che richiedono tale trasferimento o accesso ai dati non personali, dovrebbero essere esecutive se basate su un accordo internazionale, come un trattato di mutua assistenza giudiziaria, in vigore tra il paese terzo richiedente e l'Unione o uno Stato membro. In altri casi, possono verificarsi situazioni in cui la richiesta di trasferire o fornire accesso a dati non personali derivante dalla legislazione di un paese terzo è in conflitto con l'obbligo di proteggere tali dati ai sensi del diritto dell'Unione o del diritto nazionale dello Stato membro interessato, in particolare per quanto riguarda la protezione dei diritti fondamentali dell'individuo, come il diritto alla sicurezza e il diritto a un ricorso effettivo, o gli interessi fondamentali di uno Stato membro relativi alla sicurezza o alla difesa nazionale, nonché la protezione dei dati sensibili dal punto di vista commerciale, compresa la protezione dei segreti commerciali, e la protezione dei diritti di proprietà intellettuale, compresi gli impegni contrattuali in materia di riservatezza in conformità a tale legge. In assenza di accordi internazionali che regolino tali questioni, il trasferimento o l'accesso a dati non personali dovrebbe essere consentito solo se è stato verificato che l'ordinamento giuridico del Paese terzo richieda l'esposizione dei motivi e della proporzionalità della decisione, che l'ordine del tribunale o la decisione abbiano carattere specifico e che l'obiezione motivata del destinatario sia soggetta a un riesame da parte di un tribunale competente del Paese terzo che sia autorizzato a tenere in debita considerazione gli interessi giuridici rilevanti del fornitore di tali dati. Ove possibile, in base ai termini della richiesta di accesso ai dati dell'autorità del paese terzo, il fornitore di servizi di elaborazione dati dovrebbe essere in grado di informare il cliente i cui dati vengono richiesti prima di concedere l'accesso a tali dati, al fine di verificare la presenza di un potenziale conflitto di tale accesso con il diritto dell'Unione o nazionale, come quello sulla protezione dei dati sensibili dal punto di vista commerciale, compresa la protezione dei segreti commerciali e dei diritti di proprietà intellettuale e gli impegni contrattuali in materia di riservatezza.

(102) Per promuovere ulteriormente la fiducia nei dati, è importante che vengano attuate, per quanto possibile, misure di salvaguardia per garantire il controllo dei propri dati da parte dei cittadini dell'Unione, degli enti pubblici e delle imprese. Inoltre, dovrebbero essere rispettati il diritto, i valori e gli standard dell'Unione relativi, tra l'altro, alla sicurezza, alla protezione dei dati e della privacy e alla tutela dei consumatori. Al fine di prevenire l'accesso governativo illegale ai dati non personali da parte delle autorità di Paesi terzi, i fornitori di servizi di elaborazione dati soggetti al presente regolamento, come i servizi cloud ed edge, dovrebbero adottare tutte le misure ragionevoli per impedire l'accesso ai sistemi in cui sono memorizzati i dati non personali, tra cui, se del caso, la crittografia dei dati, la frequente sottoposizione a controlli, l'adesione verificata ai pertinenti sistemi di certificazione della sicurezza e la modifica delle politiche aziendali.

(103) La standardizzazione e l'interoperabilità semantica dovrebbero svolgere un ruolo fondamentale nel fornire soluzioni tecniche per garantire l'interoperabilità all'interno e tra gli spazi comuni di dati europei, che sono quadri interoperabili specifici per finalità o settore o intersettoriali per norme e pratiche comuni per condividere o elaborare congiuntamente i dati, tra l'altro per lo sviluppo di nuovi prodotti e servizi, la ricerca scientifica o le iniziative della società civile. Il presente regolamento stabilisce alcuni requisiti essenziali per l'interoperabilità. I partecipanti agli spazi di dati che offrono dati o servizi di dati ad altri partecipanti, che sono entità che facilitano o si impegnano nella condivisione di dati all'interno di spazi di dati comuni europei, compresi i titolari di dati, dovrebbero rispettare tali requisiti per quanto riguarda gli elementi sotto il loro controllo. La conformità a tali norme può essere garantita aderendo ai requisiti essenziali stabiliti nel presente regolamento, o presunta rispettando norme armonizzate o specifiche comuni attraverso una presunzione di conformità. Per facilitare la conformità ai requisiti di interoperabilità, è necessario prevedere una presunzione di conformità delle soluzioni di interoperabilità che soddisfano le norme armonizzate o parti di esse in conformità al Regolamento (UE) n. 1025/2012, che rappresenta il quadro di riferimento per l'elaborazione di norme che prevedono tali presunzioni. La Commissione dovrebbe valutare gli ostacoli all'interoperabilità e dare priorità alle esigenze di standardizzazione, sulla base delle quali può chiedere a uno o più organismi europei di standardizzazione, ai sensi del regolamento (UE) n. 1025/2012, di elaborare norme armonizzate che soddisfino i requisiti essenziali stabiliti nel presente regolamento. Qualora tali richieste non diano luogo a norme armonizzate o tali norme armonizzate non siano sufficienti a garantire la conformità ai requisiti essenziali del presente regolamento, la Commissione dovrebbe poter adottare specifiche comuni in tali settori, a condizione che nel farlo rispetti debitamente il ruolo e le funzioni delle organizzazioni di normazione. Le specifiche comuni dovrebbero essere adottate solo come soluzione eccezionale di ripiego per facilitare la conformità ai requisiti essenziali del presente regolamento, o quando il processo di standardizzazione è bloccato, o quando ci sono ritardi nella definizione di norme armonizzate appropriate. Se il ritardo è dovuto alla complessità tecnica della norma in questione, la Commissione dovrebbe tenerne conto prima di prendere in considerazione la definizione di specifiche comuni. Le specifiche comuni dovrebbero essere sviluppate in modo aperto e inclusivo e tenere conto, se del caso, del parere del Comitato europeo per l'innovazione dei dati (EDIB) istituito dal Regolamento (UE) 2022/868. Inoltre, le specifiche comuni in diversi settori potrebbero essere adottate, in conformità al diritto dell'Unione o nazionale, sulla base delle esigenze specifiche di tali settori. Inoltre, la Commissione dovrebbe avere la possibilità di imporre lo sviluppo di standard armonizzati per l'interoperabilità dei servizi di elaborazione dati.

(104) Per promuovere l'interoperabilità degli strumenti per l'esecuzione automatizzata degli accordi di condivisione dei dati, è necessario stabilire requisiti essenziali per i contratti intelligenti che i professionisti creano per altri o integrano nelle applicazioni che supportano l'attuazione degli accordi di condivisione dei dati. Al fine di facilitare la conformità di tali contratti intelligenti a tali requisiti essenziali, è necessario prevedere una presunzione di conformità dei contratti intelligenti che soddisfano le norme armonizzate o parti di esse in conformità al Regolamento (UE) n. 1025/2012. Il concetto di "contratto intelligente" nel presente regolamento è tecnologicamente neutro. I contratti intelligenti possono, ad esempio, essere collegati a un libro mastro elettronico. I requisiti essenziali dovrebbero applicarsi solo ai venditori di contratti intelligenti, ma non nel caso in cui essi sviluppino contratti intelligenti esclusivamente per uso interno. Il requisito essenziale per garantire che i contratti intelligenti possano essere interrotti e terminati implica il consenso reciproco delle parti dell'accordo di condivisione dei dati. L'applicabilità delle norme pertinenti del diritto civile, contrattuale e della protezione dei consumatori agli accordi di condivisione dei dati rimane o dovrebbe rimanere inalterata dall'uso di contratti intelligenti per l'esecuzione automatizzata di tali accordi.

(105) Per dimostrare il rispetto dei requisiti essenziali del presente regolamento, il venditore di un contratto intelligente o, in assenza di questo, la persona la cui attività commerciale o professionale comporta l'utilizzo di contratti intelligenti per altri nel contesto dell'esecuzione di un accordo o di parte di esso, per rendere disponibili i dati nel contesto del presente regolamento, dovrebbe eseguire una valutazione di conformità e rilasciare una dichiarazione di conformità UE. Tale valutazione di conformità dovrebbe essere soggetta ai principi generali stabiliti nel regolamento (CE) n. 765/2008 del Parlamento europeo e del Consiglio (34) e nella decisione n. 768/2008/CE del Parlamento europeo e del Consiglio (35).

(106) Oltre all'obbligo per gli sviluppatori professionali di contratti intelligenti di rispettare i requisiti essenziali, è importante incoraggiare i partecipanti agli spazi di dati che offrono dati o servizi basati su dati ad altri partecipanti all'interno degli spazi di dati europei comuni e tra di essi a sostenere l'interoperabilità degli strumenti per la condivisione dei dati, compresi i contratti intelligenti.

(107) Per garantire l'applicazione e il rispetto del presente regolamento, gli Stati membri devono designare una o più autorità competenti. Se uno Stato membro designa più di un'autorità competente, deve anche designare tra loro un coordinatore dei dati. Le autorità competenti dovrebbero cooperare tra loro. Attraverso l'esercizio dei loro poteri di indagine in conformità alle procedure nazionali applicabili, le autorità competenti dovrebbero essere in grado di ricercare e ottenere informazioni, in particolare in relazione alle attività dei soggetti di loro competenza e, anche nel contesto di indagini congiunte, tenendo in debito conto il fatto che le misure di sorveglianza e di applicazione relative a un soggetto di competenza di un altro Stato membro dovrebbero essere adottate dall'autorità competente di tale altro Stato membro, se del caso, in conformità alle procedure relative alla cooperazione transfrontaliera. Le autorità competenti dovrebbero prestarsi reciprocamente assistenza in modo tempestivo, in particolare quando un'autorità competente di uno Stato membro è in possesso di informazioni rilevanti per un'indagine condotta dalle autorità competenti di altri Stati membri, o è in grado di raccogliere tali informazioni a cui le autorità competenti dello Stato membro in cui l'entità è stabilita non hanno accesso. Le autorità competenti e i coordinatori dei dati dovrebbero essere identificati in un registro pubblico tenuto dalla Commissione. Il coordinatore dei dati potrebbe essere uno strumento aggiuntivo per facilitare la cooperazione nelle situazioni transfrontaliere, ad esempio quando un'autorità competente di un determinato Stato membro non sa a quale autorità deve rivolgersi nello Stato membro del coordinatore dei dati, ad esempio quando il caso riguarda più di un'autorità competente o un settore. Il coordinatore dei dati deve fungere, tra l'altro, da punto di contatto unico per tutte le questioni relative all'applicazione del presente regolamento. Qualora non sia stato designato un coordinatore dei dati, l'autorità competente dovrebbe assumere i compiti assegnati al coordinatore dei dati ai sensi del presente regolamento. Le autorità responsabili del controllo dell'osservanza della normativa sulla protezione dei dati e le autorità competenti designate ai sensi del diritto dell'Unione o nazionale dovrebbero essere responsabili dell'applicazione del presente regolamento nelle loro aree di competenza. Per evitare conflitti di interesse, le autorità competenti responsabili dell'applicazione e del rispetto del presente regolamento nel settore della messa a disposizione dei dati a seguito di una richiesta sulla base di una necessità eccezionale non dovrebbero beneficiare del diritto di presentare tale richiesta.

(108) Per far valere i loro diritti ai sensi del presente regolamento, le persone fisiche e giuridiche devono avere il diritto di chiedere un risarcimento per le violazioni dei loro diritti ai sensi del presente regolamento presentando un reclamo. Il coordinatore dei dati dovrebbe, su richiesta, fornire tutte le informazioni necessarie alle persone fisiche e giuridiche per la presentazione dei loro reclami all'autorità competente appropriata. Tali autorità dovrebbero essere tenute a collaborare per garantire che un reclamo sia trattato in modo appropriato e risolto efficacemente e tempestivamente. Al fine di utilizzare il meccanismo della rete di cooperazione per la protezione dei consumatori e di consentire rappresentanteRappresentante Persona fisica o giuridica stabilita nell'Unione esplicitamente designata ad agire per conto di un fornitore di servizi DNS, di un registro di nomi TLD, di un'entità che fornisce servizi di registrazione di nomi di dominio, di un fornitore di servizi di cloud computing, di un fornitore di servizi di data center, di un fornitore di reti di distribuzione di contenuti, di un fornitore di servizi gestiti, di un fornitore di servizi di sicurezza gestiti o di un fornitore di un mercato online, di un motore di ricerca online o di una piattaforma di servizi di social network non stabilita nell'Unione, che può essere interpellata da un'autorità competente o da un CSIRT al posto dell'entità stessa per quanto riguarda gli obblighi di tale entità ai sensi della presente direttiva. - Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022/2555 (direttiva NIS2) azioni, il presente regolamento modifica gli allegati del regolamento (UE) 2017/2394 del Parlamento europeo e del Consiglio (36) e della direttiva (UE) 2020/1828 del Parlamento europeo e del Consiglio (37).

(109) Le autorità competenti devono garantire che le violazioni degli obblighi stabiliti dal presente regolamento siano soggette a sanzioni. Tali sanzioni potrebbero comprendere sanzioni pecuniarie, avvertimenti, ammonimenti o ordini di conformare le pratiche commerciali agli obblighi imposti dal presente regolamento. Le sanzioni stabilite dagli Stati membri dovrebbero essere efficaci, proporzionate e dissuasive e dovrebbero tenere conto delle raccomandazioni dell'EDIB, contribuendo così a raggiungere il massimo livello possibile di coerenza nella definizione e nell'applicazione delle sanzioni. Ove opportuno, le autorità competenti dovrebbero ricorrere a misure provvisorie per limitare gli effetti di una presunta violazione mentre è in corso l'indagine su tale violazione. Nel fare ciò, dovrebbero tenere conto, tra l'altro, della natura, della gravità, della portata e della durata della violazione in considerazione dell'interesse pubblico in gioco, della portata e del tipo di attività svolte e della capacità economica della parte che ha commesso la violazione. Dovrebbero inoltre tenere conto del fatto che la parte che ha commesso la violazione non adempie sistematicamente o in modo ricorrente agli obblighi previsti dal presente regolamento. Per garantire il rispetto del principio del ne bis in idem e, in particolare, per evitare che la stessa violazione degli obblighi stabiliti dal presente regolamento sia sanzionata più di una volta, uno Stato membro che intenda esercitare la propria competenza in relazione a una parte contravvenente che non è stabilita e non ha designato un rappresentante legale nell'Unione dovrebbe, senza indebito ritardo, informare tutti i coordinatori dei dati e la Commissione.

(110) L'EDIB dovrebbe consigliare e assistere la Commissione nel coordinamento delle pratiche e delle politiche nazionali sui temi trattati dal presente regolamento, nonché nel conseguimento dei suoi obiettivi in materia di standardizzazione tecnica per migliorare l'interoperabilità. Dovrebbe inoltre svolgere un ruolo fondamentale nell'agevolare discussioni esaustive tra le autorità competenti in merito all'applicazione e all'attuazione del presente regolamento. Tale scambio di informazioni è volto a migliorare l'accesso effettivo alla giustizia, nonché l'applicazione e la cooperazione giudiziaria in tutta l'Unione. Tra le altre funzioni, le autorità competenti dovrebbero utilizzare l'EDIB come piattaforma per valutare, coordinare e adottare raccomandazioni sulla definizione delle sanzioni per le violazioni del presente regolamento. L'EDIB dovrebbe consentire alle autorità competenti, con l'assistenza della Commissione, di coordinare l'approccio ottimale per determinare e imporre tali sanzioni. Questo approccio evita la frammentazione, pur consentendo la flessibilità degli Stati membri, e dovrebbe portare a raccomandazioni efficaci che sostengano l'applicazione coerente del presente regolamento. L'EDIB dovrebbe inoltre avere un ruolo consultivo nei processi di standardizzazione e nell'adozione di specifiche comuni tramite atti di esecuzione, nell'adozione di atti delegati per stabilire un meccanismo di monitoraggio delle tariffe di cambio di fornitore, imposte dai fornitori di servizi di elaborazione dati e per specificare ulteriormente i requisiti essenziali per l'interoperabilità dei dati, dei meccanismi e dei servizi di condivisione dei dati, nonché degli spazi comuni di dati europei. Dovrebbe inoltre consigliare e assistere la Commissione nell'adozione delle linee guida che stabiliscono le specifiche di interoperabilità per il funzionamento degli spazi comuni di dati europei.

(111) Per aiutare le imprese a redigere e negoziare i contratti, la Commissione dovrebbe sviluppare e raccomandare termini contrattuali modello non vincolanti per i contratti di condivisione dei dati tra imprese, tenendo conto, se necessario, delle condizioni in settori specifici e delle pratiche esistenti con i meccanismi volontari di condivisione dei dati. Tali clausole contrattuali tipo dovrebbero essere principalmente uno strumento pratico per aiutare in particolare le PMI a concludere un contratto. Se utilizzati in modo ampio e integrato, questi modelli di clausole contrattuali dovrebbero anche avere l'effetto benefico di influenzare la progettazione dei contratti relativi all'accesso e all'uso dei dati e quindi portare più in generale a relazioni contrattuali più eque quando si accede e si condividono i dati.

(112) Al fine di eliminare il rischio che i titolari di dati contenuti in banche dati ottenute o generate per mezzo di componenti fisici, quali sensori, di un prodotto connesso e di un servizio correlato o di altri dati generati da macchine, rivendichino il diritto sui generis di cui all'articolo 7 della direttiva 96/9/CE, ostacolando in tal modo, in particolare, l'esercizio effettivo del diritto degli utenti di accedere ai dati e di utilizzarli e del diritto di condividere i dati con terzi ai sensi del presente regolamento, è opportuno chiarire che il diritto sui generis non si applica a tali banche dati. Ciò non pregiudica la possibile applicazione del diritto sui generis ai sensi dell'articolo 7 della direttiva 96/9/CE alle banche dati contenenti dati che non rientrano nell'ambito di applicazione del presente regolamento, a condizione che siano soddisfatti i requisiti di protezione ai sensi del paragrafo 1 di tale articolo.

(113) Al fine di tenere conto degli aspetti tecnici dei servizi di elaborazione dati, è opportuno delegare alla Commissione il potere di adottare atti conformemente all'articolo 290 TFUE per integrare il presente regolamento al fine di istituire un meccanismo di monitoraggio delle spese di commutazione imposte dai fornitori di servizi di elaborazione dati sul mercato e di specificare ulteriormente i requisiti essenziali in materia di interoperabilità per i partecipanti agli spazi di dati che offrono dati o servizi di dati ad altri partecipanti. È particolarmente importante che la Commissione svolga consultazioni adeguate durante i lavori preparatori, anche a livello di esperti, e che tali consultazioni siano condotte in conformità ai principi stabiliti nell'accordo interistituzionale del 13 aprile 2016 "Legiferare meglio" (38). In particolare, per garantire una partecipazione paritaria alla preparazione degli atti delegati, il Parlamento europeo e il Consiglio ricevono tutti i documenti contemporaneamente agli esperti degli Stati membri e i loro esperti hanno sistematicamente accesso alle riunioni dei gruppi di esperti della Commissione che si occupano della preparazione degli atti delegati.

(114) Al fine di garantire condizioni uniformi per l'attuazione del presente regolamento, è opportuno conferire alla Commissione competenze di esecuzione per quanto riguarda l'adozione di specifiche comuni per garantire l'interoperabilità dei dati, di meccanismi e servizi di condivisione dei dati, nonché di spazi comuni di dati europei, di specifiche comuni sull'interoperabilità dei servizi di elaborazione dati e di specifiche comuni sull'interoperabilità dei contratti intelligenti. Dovrebbero inoltre essere conferite alla Commissione competenze di esecuzione al fine di pubblicare i riferimenti delle norme armonizzate e delle specifiche comuni per l'interoperabilità dei servizi di elaborazione dati in un archivio centrale di norme dell'Unione per l'interoperabilità dei servizi di elaborazione dati. Tali poteri dovrebbero essere esercitati conformemente al regolamento (UE) n. 182/2011 del Parlamento europeo e del Consiglio (39).

(115) Il presente regolamento non deve pregiudicare le norme che rispondono a esigenze specifiche di singoli settori o aree di interesse pubblico. Tali norme possono comprendere requisiti aggiuntivi sugli aspetti tecnici dell'accesso ai dati, come le interfacce per l'accesso ai dati o le modalità di accesso ai dati, ad esempio direttamente dal prodotto o tramite servizi di intermediazione dei dati. Tali norme possono anche includere limiti ai diritti dei titolari dei dati di accedere o utilizzare i dati degli utenti, o altri aspetti che vanno oltre l'accesso e l'utilizzo dei dati, come gli aspetti di governance o i requisiti di sicurezza, compresi i requisiti di cybersecurity. Il presente regolamento non dovrebbe inoltre pregiudicare norme più specifiche nel contesto dello sviluppo di spazi comuni europei per i dati o, fatte salve le eccezioni previste dal presente regolamento, la legislazione dell'Unione e nazionale che prevede l'accesso e l'autorizzazione all'uso dei dati a fini di ricerca scientifica.

(116) Il presente regolamento non dovrebbe pregiudicare l'applicazione delle regole di concorrenza, in particolare degli articoli 101 e 102 del TFUE. Le misure previste dal presente regolamento non dovrebbero essere utilizzate per limitare la concorrenza in modo contrario al TFUE.

(117) Per consentire agli attori che rientrano nell'ambito di applicazione del presente regolamento di adattarsi alle nuove norme ivi previste e di prendere le necessarie disposizioni tecniche, tali norme dovrebbero applicarsi a partire dal 12 settembre 2025.

(118) Il Garante europeo della protezione dei dati e il Comitato europeo per la protezione dei dati sono stati consultati ai sensi dell'articolo 42, paragrafi 1 e 2, del regolamento (UE) 2018/1725 e hanno espresso il loro parere il 4 maggio 2022.

(119) Poiché gli obiettivi del presente regolamento, vale a dire garantire un'equa ripartizione del valore dei dati tra gli attori dell'economia dei dati e promuovere un accesso e un utilizzo equi dei dati per contribuire alla creazione di un vero e proprio mercato interno dei dati, non possono essere conseguiti in misura sufficiente dagli Stati membri ma possono, a motivo della portata o degli effetti dell'azione e dell'utilizzo transfrontaliero dei dati, essere conseguiti meglio a livello di Unione, quest'ultima può intervenire in base al principio di sussidiarietà sancito dall'articolo 5 del trattato sull'Unione europea. Il presente regolamento si limita a quanto è necessario per conseguire tali obiettivi in ottemperanza al principio di proporzionalità enunciato nello stesso articolo,

HANNO ADOTTATO QUESTO REGOLAMENTO: