(1)

Il trattato sul funzionamento dell'Unione europea (TFUE) prevede l'instaurazione di un mercato interno e l'istituzione di un regime inteso a garantire l'assenza di distorsioni della concorrenza nel mercato interno. L'istituzione di norme e pratiche comuni negli Stati membri in relazione all'elaborazione di un quadro per la governance dei dati dovrebbe contribuire al conseguimento di tali obiettivi, nel pieno rispetto dei diritti fondamentali. Dovrebbe inoltre garantire il rafforzamento dell'autonomia strategica aperta dell'Unione, promuovendo nel contempo la libera circolazione dei dati a livello internazionale.

(2)

Nel corso dell'ultimo decennio le tecnologie digitali hanno trasformato l'economia e la società, influenzando tutti i settori di attività nonché la vita quotidiana. I dati sono al centro di tale trasformazione: l'innovazione guidata dai dati genererà benefici enormi sia per i cittadini dell'Unione che per l'economia, ad esempio migliorando e personalizzando la medicina, fornendo nuove soluzioni di mobilità e contribuendo alla comunicazione della Commissione dell'11 dicembre 2019 sul Green Deal europeo. Per rendere l'economia basata sui dati inclusiva per tutti i cittadini dell'Unione, occorre prestare particolare attenzione alla riduzione del divario digitale, al rafforzamento della partecipazione delle donne all'economia dei dati e alla promozione di competenze europee all'avanguardia nel settore tecnologico. L'economia dei dati deve essere creata in modo da consentire alle imprese, in particolare alle microimprese e alle piccole e medie imprese (PMI) quali definite nell'allegato della raccomandazione della Commissione 2003/361/CE (3) e alle start-up, di prosperare, garantendo neutralità dell'accesso ai dati e portabilità e interoperabilità dei dati, ed evitando effetti di dipendenza («lock-in»). Nella sua comunicazione del 19 febbraio 2020 su una strategia europea per i dati («strategia europea per i dati»), la Commissione ha descritto la visione di uno spazio comune europeo di dati: un mercato interno dei dati nel quale questi ultimi possano essere utilizzati indipendentemente dal loro luogo fisico di conservazione nell'Unione, nel rispetto della normativa applicabile, che tra le altre cose potrebbe essere centrale per il rapido sviluppo delle tecnologie di intelligenza artificiale.

La Commissione ha inoltre invitato a garantire la circolazione libera e sicura dei dati con i paesi terzi, soggetta a eccezioni e restrizioni per ragioni di pubblica sicurezza, ordine pubblico e nell'ottica di altri legittimi obiettivi di politica pubblica dell'Unione, in linea con gli obblighi internazionali, anche in materia di diritti fondamentali. Al fine di trasformare tale visione in realtà, la Commissione ha proposto di istituire, per la condivisione e la messa in comune dei dati, spazi comuni europei di dati specifici per dominio. Come proposto nella strategia europea per i dati, tali spazi comuni europei di dati potrebbero interessare settori quali la sanità, la mobilità, l'industria manifatturiera, i servizi finanziari, l'energia o l'agricoltura, o una combinazione di tali settori, ad esempio l'energia e il clima, nonché ambiti strategici quali il Green Deal europeo o gli spazi europei di dati per la pubblica amministrazione o le competenze. Gli spazi comuni europei di dati dovrebbero rendere i dati reperibili, accessibili, interoperabili e riutilizzabili («principi FAIR per i dati»), garantendo nel contempo un elevato livello di cibersicurezza. Laddove esista parità di condizioni nell'economia dei dati, le imprese competono sulla qualità dei servizi e non sulla quantità dei dati che controllano. Ai fini della progettazione, della creazione e del mantenimento delle condizioni di parità nell'economia dei dati, è necessaria una solida governance in cui i portatori di interessi di uno spazio comune europeo di dati devono partecipare ed essere rappresentati.

(3)

È necessario migliorare le condizioni per la condivisione dei dati nel mercato interno, creando un quadro armonizzato per gli scambi di dati e stabilendo alcuni requisiti di base per la governance dei dati, prestando particolare attenzione a facilitare la cooperazione tra gli Stati membri. Il presente regolamento dovrebbe mirare a sviluppare ulteriormente il mercato interno digitale senza frontiere e una società e un'economia dei dati antropocentriche, affidabili e sicure. La normativa settoriale a livello dell'Unione può sviluppare, adeguare e proporre elementi nuovi e complementari, a seconda delle specificità del settore, come nel caso della prevista normativa dell'Unione in materia di spazio europeo dei dati sanitari e di accesso ai dati dei veicoli. Taluni settori economici sono inoltre già disciplinati dalla normativa settoriale a livello dell'Unione che comprende norme in materia di condivisione di dati o di accesso ai dati a livello transfrontaliero o dell'Unione, ad esempio la direttiva 2011/24/UE del Parlamento europeo e del Consiglio (4) nel contesto dello spazio europeo dei dati sanitari e i pertinenti atti legislativi in materia di trasporti, come i regolamenti (UE) 2019/1239 (5) e (UE) 2020/1056 (6) e la direttiva 2010/40/UE (7) del Parlamento europeo e del Consiglio nel contesto dello spazio europeo dei dati sulla mobilità.

Il presente regolamento dovrebbe pertanto lasciare impregiudicati i regolamenti (CE) n. 223/2009 (8), (UE) 2018/858 (9) e (UE) 2018/1807 (10) nonché le direttive 2000/31/CE (11), 2001/29/CE (12), 2004/48/CE (13), 2007/2/CE (14), 2010/40/UE, (UE) 2015/849 (15), (UE) 2016/943 (16), (UE) 2017/1132 (17), (UE) 2019/790 (18) e (UE) 2019/1024 (19) del Parlamento europeo e del Consiglio e ogni altra normativa settoriale dell'Unione che disciplina l'accesso ai dati e il loro riutilizzo. Il presente regolamento dovrebbe lasciare impregiudicato il diritto dell'Unione e nazionale in materia di accesso ai dati e relativo utilizzo ai fini della prevenzione, dell'indagine, dell'accertamento e del perseguimento di reati o dell'esecuzione di sanzioni penali, nonché di cooperazione internazionale in tale contesto.

Il presente regolamento dovrebbe lasciare impregiudicate le competenze degli Stati membri per quanto riguarda le loro attività in materia di sicurezza pubblica, difesa e sicurezza nazionale. Il riutilizzo dei dati protetti per tali motivi e detenuti da enti pubblici, inclusi i dati relativi alle procedure di appalto che rientrano nell'ambito di applicazione della direttiva 2009/81/CE del Parlamento europeo e del Consiglio (20), non dovrebbe essere disciplinato dal presente regolamento. È opportuno istituire un regime orizzontale per il riutilizzo di talune categorie di dati protetti detenuti da enti pubblici e per la fornitura di servizi di intermediazione dei dati e di servizi basati sull'altruismo dei dati nell'Unione. Le caratteristiche specifiche dei diversi settori potrebbero imporre la progettazione di sistemi settoriali basati sui dati, sulla base dei requisiti del presente regolamento. I fornitori di servizi di intermediazione dei dati che soddisfano i requisiti stabiliti nel presente regolamento dovrebbero essere in grado di utilizzare il titolo di «fornitore di servizi di intermediazione dei dati riconosciuto nell'Unione». Le persone giuridiche che intendono sostenere obiettivi di interesse generale mettendo a disposizione quantità considerevoli di dati pertinenti sulla base dell'altruismo dei dati e che soddisfano i requisiti stabiliti nel presente regolamento dovrebbero potersi registrare in qualità di «organizzazione per l'altruismo dei dati riconosciuta nell'Unione» e utilizzare tale titolo. Qualora la normativa settoriale, dell'Unione o nazionale, imponga agli enti pubblici, a tali fornitori di servizi di intermediazione dei dati o tali persone giuridiche (organizzazioni per l'altruismo dei dati riconosciute) di rispettare specifici requisiti tecnici, amministrativi o organizzativi aggiuntivi, anche attraverso un regime di autorizzazione o certificazione, si dovrebbero applicare anche le disposizioni di tale normativa settoriale dell'Unione o nazionale.

(4)

Il presente regolamento dovrebbe lasciare impregiudicati i regolamenti (UE) 2016/679 (21) e (UE) 2018/1725 (22) del Parlamento europeo e del Consiglio, le direttive 2002/58/CE (23) e (UE) 2016/680 (24) del Parlamento europeo e del Consiglio e le corrispondenti disposizioni del diritto nazionale, anche qualora i dati personali e non personali di una serie di dati siano indissolubilmente legati. In particolare, il presente regolamento non dovrebbe intendersi, in particolare, come creazione di una nuova base giuridica per il trattamento dei dati personali per nessuna delle attività regolamentate, né come modifica dei requisiti in materia di informazione stabiliti nel regolamento (UE) 2016/679. L'attuazione del presente regolamento non dovrebbe impedire i trasferimenti transfrontalieri di dati in conformità del capo V del regolamento (UE) 2016/679. In caso di conflitto tra il presente regolamento e il diritto dell'Unione in materia di protezione dei dati personali o del diritto nazionale adottato conformemente a tale diritto dell'Unione, il pertinente diritto dell'Unione o nazionale in materia di protezione dei dati personali dovrebbe prevalere. Dovrebbe essere possibile considerare le autorità per la protezione dei dati autorità competenti ai sensi del presente regolamento. Qualora altre autorità fungano da autorità competenti ai sensi del presente regolamento, esse dovrebbero agire senza pregiudicare i poteri di controllo e le competenze delle autorità per la protezione dei dati ai sensi del regolamento (UE) 2016/679.

(5)

L'azione a livello dell'Unione è necessaria per aumentare la fiducia nella condivisione dei dati istituendo adeguati meccanismi che garantiscano il controllo da parte degli interessati e dei titolari dei dati sui dati che li riguardano e al fine di affrontare altri ostacoli al buon funzionamento di un'economia competitiva basata sui dati. Tale azione non dovrebbe pregiudicare gli obblighi e gli impegni negli accordi commerciali internazionali conclusi dall'Unione. Un quadro di governance a livello dell'Unione dovrebbe avere l'obiettivo di creare fiducia tra gli individui e le imprese per quanto riguarda l'accesso ai dati, la loro condivisione e il loro controllo, utilizzo e riutilizzo, in particolare stabilendo adeguati meccanismi per gli interessati affinché conoscano ed esercitino fattivamente i propri diritti nonché per quanto riguarda il riutilizzo di alcune tipologie di dati detenuti dagli enti pubblici, la fornitura di servizi da parte dei fornitori di servizi di intermediazione dei dati agli interessati, ai titolari e agli utenti dei dati, nonché la raccolta e il trattamento dei dati messi a disposizione a fini altruistici da persone fisiche e giuridiche. In particolare, una maggiore trasparenza per quanto riguarda la finalità dell'utilizzo dei dati e le condizioni in cui i dati sono conservati dalle imprese può contribuire ad aumentare la fiducia.

(6)

L'idea che i dati generati o raccolti da enti pubblici o altre entità a carico dei bilanci pubblici debbano apportare benefici alla società è da tempo parte integrante delle politiche dell'Unione. La direttiva (UE) 2019/1024 e la normativa settoriale dell'Unione garantiscono che gli enti pubblici rendano facilmente disponibile per l'utilizzo e il riutilizzo una quota maggiore dei dati che producono. Spesso talune categorie di dati conservati in basi di dati pubbliche, quali dati commerciali riservati, dati soggetti a segreto statistico e dati protetti da diritti di proprietà intellettuale di terzi, compresi segreti commerciali e dati personali, spesso non sono messe a disposizione, nemmeno per attività di ricerca o di innovazione nel pubblico interesse, nonostante tale disponibilità sia possibile in conformità del diritto dell'Unione applicabile, in particolare del regolamento (UE) 2016/679 e delle direttive 2002/58/CE e (UE) 2016/680. A causa della sensibilità di tali dati, prima che essi siano messi a disposizione si devono soddisfare alcuni requisiti procedurali tecnici e giuridici al fine, se non altro, di garantire il rispetto dei diritti di terzi sui dati in questione o di limitare l'effetto negativo sui diritti fondamentali, sul principio di non discriminazione e sulla protezione dei dati. L'adempimento di tali requisiti risulta abitualmente molto dispendioso in termini di tempo e richiede un livello molto elevato di conoscenze. Ciò ha determinato un utilizzo insufficiente di tali dati. Per quanto alcuni Stati membri stiano istituendo strutture, procedure o adottando norme per agevolare tale tipo di riutilizzo, ciò non accade in tutta l'Unione. Al fine di agevolare l'utilizzo dei dati per la ricerca e l'innovazione europee da parte di soggetti pubblici e privati, sono necessarie condizioni chiare per l'accesso a tali dati e il loro utilizzo in tutta l'Unione.

(7)

Esistono tecniche che consentono l'analisi di banche dati contenenti dati personali, quali l'anonimizzazione, la privacy differenziale, la generalizzazione, la soppressione e la casualizzazione, l'utilizzo di dati sintetici o metodi analoghi, nonché altri metodi all'avanguardia di tutela della vita privata che potrebbero contribuire a un trattamento dei dati maggiormente rispettoso della vita privata. Gli Stati membri dovrebbero fornire sostegno agli enti pubblici affinché utilizzino in maniera ottimale tali tecniche, rendendo così disponibili quanti più dati possibili per la condivisione. L'applicazione di tali tecniche, unite a valutazioni d'impatto globali in materia di protezione dei dati e ad altre tutele può contribuire a una maggiore sicurezza nell'utilizzo e riutilizzo dei dati personali e dovrebbe garantire il riutilizzo sicuro dei dati commerciali riservati a fini statistici, di ricerca e di innovazione. In molti casi l'applicazione di tali tecniche, valutazioni d'impatto e altre tutele implica che i dati possano essere utilizzati e riutilizzati solamente in un ambiente di trattamento sicuro fornito o controllato dall'ente pubblico. L'uso di simili ambienti di trattamento sicuro è già stato sperimentato a livello dell'Unione ai fini della ricerca su microdati statistici, sulla base del regolamento (UE) n. 557/2013 della Commissione (25). Per quanto concerne i dati personali, il trattamento dei dati personali dovrebbe in generale essere basato su una o più delle basi giuridiche per il trattamento dei dati personali previste agli articoli 6 e 9 del regolamento (UE) 2016/679.

(8)

A norma del regolamento (UE) 2016/679, i principi di protezione dei dati non dovrebbero applicarsi a informazioni anonime, vale a dire informazioni che non si riferiscono a una persona fisica identificata o identificabile, o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l'identificazione dell'interessato. La reidentificazione degli interessati a partire da insiemi di dati anonimizzati dovrebbe essere vietata. Ciò dovrebbe lasciare impregiudicata la possibilità di svolgere ricerche sulle tecniche di anonimizzazione, segnatamente al fine di garantire la sicurezza delle informazioni, migliorare le tecniche di anonimizzazione esistenti e contribuire alla solidità generale dell'anonimizzazione, a norma del regolamento (UE) 2016/679.

(9)

Al fine di facilitare la protezione dei dati personali e riservati e accelerare la messa a disposizione di tali dati per il riutilizzo ai sensi del presente regolamento, gli Stati membri dovrebbero incoraggiare gli enti pubblici a creare e mettere a disposizione i dati in conformità del principio dell'«apertura fin dalla progettazione e per impostazione predefinita» di cui all'articolo 5, paragrafo 2, della direttiva (UE) 2019/1024 e promuovere la creazione e la raccolta di dati in formati e strutture che facilitino l'anonimizzazione in tal senso.

(10)

Le categorie di dati detenuti da enti pubblici, che dovrebbero essere soggetti al riutilizzo a norma del presente regolamento, non rientrano nell'ambito di applicazione della direttiva (UE) 2019/1024, che esclude i dati che non sono accessibili per motivi di riservatezza commerciale o statistica e i dati che figurano in opere o in altro materiale su cui terzi detengono diritti di proprietà intellettuale. I dati commerciali riservati comprendono i dati protetti da segreti commerciali, il know-how protetto e qualsiasi altra informazione la cui divulgazione indebita avrebbe un impatto sulla posizione di mercato o sulla solidità finanziaria dell'impresa. Il presente regolamento si dovrebbe applicare ai dati personali che non rientrano nell'ambito di applicazione della direttiva (UE) 2019/1024 nella misura in cui il regime di accesso esclude o limita l'accesso a tali dati per motivi di protezione dei dati, di vita privata e di integrità dell'individuo, conformemente in particolare alle norme in materia di protezione dei dati. Il riutilizzo di dati che possono contenere segreti commerciali dovrebbe avere luogo senza pregiudicare la direttiva (UE) 2016/943, che istituisce il quadro per l'acquisizione, l'utilizzo e la divulgazione leciti dei segreti commerciali.

(11)

Il presente regolamento non dovrebbe introdurre l'obbligo di consentire il riutilizzo dei dati detenuti da enti pubblici. In particolare, ciascuno Stato membro dovrebbe pertanto poter decidere se i dati sono resi accessibili per il riutilizzo, anche in termini di finalità e portata di tale accesso. Il presente regolamento dovrebbe integrare e lasciare impregiudicati gli obblighi più specifici degli enti pubblici, stabiliti nella normativa settoriale dell'Unione o nazionale, quanto alla facoltà di consentire il riutilizzo dei dati. L'accesso del pubblico ai documenti ufficiali può essere considerato di interesse pubblico. Tenuto conto del ruolo dell'accesso del pubblico ai documenti ufficiali e della trasparenza in una società democratica, il presente regolamento dovrebbe lasciare altresì impregiudicato il diritto dell'Unione e nazionale sulla concessione dell'accesso ai documenti ufficiali e sulla loro divulgazione. L'accesso ai documenti ufficiali può essere concesso, in particolare, conformemente al diritto nazionale senza imporre condizioni specifiche o imponendo condizioni specifiche non previste dal presente regolamento.

(12)

Il regime di riutilizzo previsto dal presente regolamento dovrebbe applicarsi a dati la cui fornitura è parte dei compiti di servizio pubblico degli enti pubblici in questione, ai sensi del diritto o di altre norme vincolanti negli Stati membri. In mancanza di tali norme, i compiti di servizio pubblico dovrebbero essere definiti in conformità delle comuni prassi amministrative degli Stati membri, a condizione che l'ambito di detti compiti sia trasparente e soggetto a revisione. I compiti di servizio pubblico potrebbero essere definiti in linea generale o caso per caso per i singoli enti pubblici. Poiché le imprese pubbliche non rientrano nella definizione di ente pubblico, i dati detenuti da imprese pubbliche non dovrebbero essere contemplati dal presente regolamento. I dati detenuti da istituti culturali, quali biblioteche, archivi e musei, nonché orchestre, compagnie d'opera o di balletto e teatri, e da istituti di istruzione non dovrebbero rientrare nel campo di applicazione del presente regolamento in quanto le opere e gli altri documenti in loro possesso sono prevalentemente coperti da diritti di proprietà intellettuale di terzi. Anche le organizzazioni che svolgono attività di ricerca e le organizzazioni che finanziano la ricerca potrebbero essere organizzate come enti pubblici o enti di diritto pubblico.

Il presente regolamento dovrebbe applicarsi a tali organizzazioni ibride solo nella loro qualità di organizzazioni che svolgono attività di ricerca. Se le organizzazioni che svolgono attività di ricerca detengono dati nell'ambito di una specifica associazione pubblico-privato con organizzazioni del settore privato o altri enti pubblici, enti di diritto pubblico o organizzazioni ibride che svolgono attività di ricerca, ossia organizzate come enti pubblici o imprese pubbliche, con lo scopo principale di svolgere attività di ricerca, anche tali dati non dovrebbero essere contemplati dal presente regolamento. Se del caso, gli Stati membri dovrebbero poter applicare il presente regolamento alle imprese pubbliche o private che esercitano funzioni del settore pubblico o forniscono servizi di interesse generale. Lo scambio di dati, esclusivamente nell'adempimento dei rispettivi compiti di servizio pubblico, tra enti pubblici nell'Unione o tra enti pubblici nell'Unione ed enti pubblici in paesi terzi o organizzazioni internazionali, nonché lo scambio di dati tra ricercatori a fini di ricerca scientifica non commerciale, non dovrebbe essere soggetto alle disposizioni del presente regolamento relative al riutilizzo di determinate categorie di dati protetti detenuti da enti pubblici.

(13)

È opportuno che gli enti pubblici rispettino il diritto della concorrenza nello stabilire i principi per il riutilizzo dei dati da essi detenuti, evitando la conclusione di accordi che potrebbero avere quale obiettivo o conseguenza la creazione di diritti esclusivi per il riutilizzo di taluni dati. Accordi di tale tenore dovrebbero essere possibili solo se giustificati e necessari per la fornitura di un servizio o di un prodotto di interesse generale. Tale caso potrebbe presentarsi qualora l'utilizzo esclusivo dei dati rappresenti l'unico modo per massimizzare i benefici sociali dei dati in questione, ad esempio quando esiste un'unica entità (che si è specializzata nel trattamento di uno specifico set di dati) in grado di fornire il servizio o il prodotto che consente all'ente pubblico di fornire a sua volta un servizio o un prodotto di interesse generale. Simili accordi dovrebbero tuttavia essere conclusi in conformità del diritto dell'Unione o nazionale applicabile ed essere soggetti a un riesame periodico basato su un'analisi di mercato al fine di accertare che tale esclusività continui ad essere necessaria. Tali accordi dovrebbero inoltre rispettare, ove opportuno, le pertinenti norme in materia di aiuti di Stato e dovrebbero essere conclusi per una durata limitata che non dovrebbe essere superiore a 12 mesi. Al fine di garantire trasparenza, è opportuno pubblicare online tali accordi di esclusiva, in una forma conforme al pertinente diritto dell'Unione in materia di appalti pubblici. Qualora un diritto esclusivo di riutilizzo dei dati non rispetti il presente regolamento, tale diritto esclusivo dovrebbe essere invalido.

(14)

Gli accordi di esclusiva vietati e altre pratiche o accordi riguardanti il riutilizzo di dati detenuti da enti pubblici che non concedono espressamente diritti esclusivi, ma che lasciano ragionevolmente prevedere una possibile limitazione della disponibilità dei dati per il riutilizzo e che sono stati conclusi o erano già validi prima della data di entrata in vigore del presente regolamento, non dovrebbero essere rinnovati dopo la scadenza della loro validità. Gli accordi a più lungo termine o conclusi per un periodo indeterminato dovrebbero essere risolti entro 30 mesi dalla data di entrata in vigore del presente regolamento.

(15)

Il presente regolamento dovrebbe stabilire le condizioni per il riutilizzo dei dati protetti da applicarsi agli enti pubblici che, a norma del diritto nazionale, sono designati come competenti per consentire o negare l'accesso per il riutilizzo, e dovrebbe lasciare impregiudicati i diritti e gli obblighi relativi all'accesso a tali dati. Tali condizioni dovrebbero essere non discriminatorie, trasparenti, proporzionate e oggettivamente giustificate e allo stesso tempo non dovrebbero limitare la concorrenza, con un'attenzione specifica alla promozione dell'accesso a tali dati da parte delle PMI e delle start-up. Le condizioni per il riutilizzo dovrebbero essere concepite in modo da promuovere la ricerca scientifica di modo che, ad esempio, il fatto di privilegiare la ricerca scientifica dovrebbe di norma essere considerato non discriminatorio. Gli enti pubblici che hanno facoltà di consentire il riutilizzo dovrebbero disporre dei mezzi tecnici necessari per garantire la protezione dei diritti e degli interessi di terzi e dovrebbe essere conferito loro il potere di chiedere le informazioni necessarie al riutilizzatore. È opportuno limitare le condizioni cui è subordinato il riutilizzo dei dati a quanto necessario per tutelare i diritti e gli interessi di terzi nei dati e l'integrità dei sistemi informatici e di comunicazione degli enti pubblici. Gli enti pubblici dovrebbero applicare le condizioni che meglio rispondono agli interessi del riutilizzatore senza comportare un onere sproporzionato per gli enti pubblici. Le condizioni cui è subordinato il riutilizzo dei dati dovrebbero essere concepite in modo da assicurare garanzie efficaci per quanto concerne la protezione dei dati personali. Prima della loro trasmissione, i dati personali dovrebbero essere anonimizzati, affinché non sia consentita l'identificazione degli interessati, e i dati contenenti informazioni commerciali riservate dovrebbero essere modificati in modo tale da non divulgare alcuna informazione riservata. Qualora la fornitura di dati anonimizzati o modificati non rispondesse alle esigenze del riutilizzatore, a condizione che siano stati soddisfatti i requisiti di svolgere una valutazione d'impatto in materia di protezione dei dati e consultare l'autorità di controllo ai sensi degli articoli 35 e 36 del regolamento (UE) 2016/679 e qualora i rischi per i diritti e gli interessi degli interessati risultino minimi, potrebbe essere consentito il riutilizzo in loco o remoto dei dati in un ambiente di trattamento sicuro.

Ciò potrebbe costituire una soluzione adeguata per il riutilizzo dei dati pseudonimizzati. È opportuno che le analisi dei dati in tali ambienti di trattamento sicuri siano controllate dall'ente pubblico al fine di proteggere i diritti e gli interessi di terzi. In particolare, i dati personali dovrebbero essere trasmessi a terzi per il riutilizzo soltanto laddove una base giuridica conforme alla legislazione sulla protezione dei dati consenta tale trasmissione. I dati non personali dovrebbero essere trasmessi solo quando non vi è motivo di ritenere che la combinazione di set di dati non personali condurrebbe all'identificazione degli interessati. Ciò dovrebbe valere anche per i dati pseudonimizzati che mantengono il loro status di dati personali. In caso di reidentificazione degli interessati, in aggiunta a un obbligo di notifica di tale violazione a un'autorità di controllo e all'interessato a norma del regolamento (UE) 2016/679, dovrebbe applicarsi un obbligo di notifica all’ente pubblico di tale violazione dei dati. Gli enti pubblici dovrebbero, se del caso, agevolare il riutilizzo dei dati sulla base del consenso degli interessati o dell'autorizzazione dei titolari dei dati al riutilizzo dei dati che li riguardano mediante mezzi tecnici adeguati. A tale riguardo, l'ente pubblico dovrebbe adoperarsi al meglio per fornire assistenza ai potenziali riutilizzatori nella ricerca di tale consenso o autorizzazione, istituendo meccanismi tecnici che permettano di trasmettere le richieste di consenso formulate dai riutilizzatori, ove ciò sia fattibile nella pratica. Non dovrebbe essere fornita nessuna informazione che consenta ai riutilizzatori di contattare direttamente gli interessati o i titolari dei dati. Nel trasmettere una richiesta di consenso o di autorizzazione, l'ente pubblico dovrebbe garantire che l'interessato sia chiaramente informato della possibilità di rifiutare il consenso o l'autorizzazione.

(16)

Al fine di facilitare e incoraggiare l'utilizzo dei dati detenuti da enti pubblici a fini di ricerca scientifica, gli enti pubblici sono incoraggiati a sviluppare un approccio armonizzato e processi armonizzati intesi a rendere tali dati facilmente accessibili a fini di ricerca scientifica nell'interesse pubblico. Ciò potrebbe comportare, tra l'altro, la creazione di procedure amministrative semplificate, la formattazione standardizzata dei dati, metadati informativi sulle scelte metodologiche e di raccolta dei dati e campi di dati standardizzati che consentano la facile integrazione di serie di dati provenienti da diverse fonti di dati del settore pubblico, se necessario ai fini dell'analisi. L'obiettivo di tali pratiche dovrebbe essere la promozione dei dati finanziati e prodotti con fondi pubblici a fini di ricerca scientifica, conformemente al principio «il più aperto possibile, chiuso il tanto necessario».

(17)

Il presente regolamento non dovrebbe incidere sui diritti di proprietà intellettuale di terzi. Il presente regolamento dovrebbe altresì lasciare impregiudicate l'esistenza o la titolarità di diritti di proprietà intellettuale degli enti pubblici e non dovrebbe limitare in alcun modo l'esercizio di tali diritti. Gli obblighi imposti a norma del presente regolamento si dovrebbero applicare soltanto nella misura in cui siano compatibili con gli accordi internazionali sulla protezione dei diritti di proprietà intellettuale, in particolare la convenzione di Berna per la protezione delle opere letterarie e artistiche («convenzione di Berna»), l'accordo sugli aspetti dei diritti di proprietà intellettuale attinenti al commercio («accordo TRIPS»), il trattato dell'Organizzazione mondiale per la proprietà intellettuale sul diritto d'autore (WIPO Copyright Treaty — WCT) e il diritto dell'Unione o nazionale sulla proprietà intellettuale. Gli enti pubblici dovrebbero comunque esercitare il proprio diritto di autore in maniera tale da agevolare il riutilizzo dei dati.

(18)

I dati protetti da diritti di proprietà intellettuale, come pure i segreti commerciali, dovrebbero unicamente essere trasmessi a terzi qualora tale trasmissione sia lecita in virtù del diritto dell'Unione o nazionale o con il consenso del titolare dei diritti. Nel caso in cui sia accordato agli enti pubblici il diritto del costitutore di una banca di dati di cui all'articolo 7, paragrafo 1, della direttiva 96/9/CE del Parlamento europeo e del Consiglio (26), essi non dovrebbero esercitare tale diritto per impedire il riutilizzo dei dati o limitarlo più di quanto stabilito dal presente regolamento.

(19)

Le imprese e gli interessati dovrebbero poter confidare nel fatto che il riutilizzo di determinate categorie di dati protetti, detenuti dagli enti pubblici, sarà effettuato in maniera tale da rispettare i loro diritti e interessi. È pertanto opportuno predisporre tutele supplementari per situazioni nelle quali il riutilizzo di tali dati del settore pubblico ha luogo sulla base di un trattamento dei dati al di fuori di tale settore, tra cui un obbligo per gli enti pubblici di garantire che i diritti e gli interessi delle persone fisiche e giuridiche, in particolare per quanto riguarda i dati personali, i dati commerciali sensibili e i diritti di proprietà intellettuale, siano pienamente tutelati in tutti i casi, incluso il trasferimento di tali dati a paesi terzi. Gli enti pubblici non dovrebbero consentire il riutilizzo delle informazioni conservate in applicazioni di sanità elettronica da parte delle imprese di assicurazione o di qualsiasi altro fornitore di servizi al fine di discriminare nella fissazione dei prezzi, in quanto ciò sarebbe contrario al diritto fondamentale di accesso alla salute.

(20)

È inoltre di estrema importanza, al fine di preservare una concorrenza leale e l'economia di mercato aperta, salvaguardare i dati protetti di natura non personale, in particolare i segreti commerciali, ma anche i dati non personali che costituiscono un contenuto protetto da diritti di proprietà intellettuale da un accesso illecito che possa portare al furto della proprietà intellettuale o allo spionaggio industriale. Al fine di garantire la protezione dei diritti o degli interessi dei titolari dei dati, possono essere trasferiti a paesi terzi i dati non personali che devono essere protetti da accessi illeciti o non autorizzati in conformità del diritto dell'Unione o nazionale e che sono detenuti da enti pubblici, ma solo allorché sono previste tutele adeguate per l'utilizzo dei dati. Tali tutele adeguate dovrebbero includere l'obbligo che l'ente pubblico trasmetta dati protetti a un riutilizzatore solo se quest'ultimo si impegni contrattualmente nell'interesse della protezione dei dati. Un riutilizzatore che intende trasferire i dati protetti a un tale paese terzo dovrebbe rispettare gli obblighi sanciti dal presente regolamento anche dopo l'avvenuto trasferimento dei dati al paese terzo. Per garantire la corretta applicazione di tali obblighi il riutilizzatore dovrebbe altresì accettare la giurisdizione dello Stato membro dell'ente pubblico che ha consentito il riutilizzo ai fini della risoluzione giudiziale delle controversie.

(21)

Si dovrebbe inoltre prendere in considerazione l'applicazione di tutele adeguate se, nel paese terzo verso il quale vengono trasferiti i dati personali, sono in vigore misure equivalenti che garantiscono che i dati beneficino di un livello di protezione analogo a quello applicabile mediante il diritto dell'Unione, in particolare per quanto riguarda la protezione dei segreti commerciali e dei diritti di proprietà intellettuale. Se giustificato da un numero considerevole di richieste in tutta l'Unione riguardanti il riutilizzo di dati non personali in determinati paesi terzi, la Commissione dovrebbe poter essere in grado di dichiarare a tal fine, mediante atti di esecuzione, che un paese terzo fornisce un livello di protezione sostanzialmente equivalente a quello previsto dal diritto dell'Unione. La Commissione dovrebbe valutare la necessità di tali atti di esecuzione sulla base delle informazioni fornite dagli Stati membri tramite il comitato europeo per l'innovazione in materia di dati. Tali atti di esecuzione rassicurerebbero gli enti pubblici sul fatto che il riutilizzo dei dati detenuti da enti pubblici nel paese terzo in questione non comprometterebbe la natura protetta di tali dati. La valutazione del livello di protezione conseguito nel paese terzo in questione dovrebbe in particolare tenere in considerazione la pertinente normativa generale e settoriale, anche in materia di pubblica sicurezza, difesa, sicurezza nazionale e diritto penale relativo all'accesso ai dati non personali e alla loro protezione, qualsiasi accesso da parte degli enti pubblici di tale paese terzo ai dati trasferiti, l'esistenza e l'effettivo funzionamento nel paese terzo di una o più autorità di controllo indipendenti responsabili di garantire e far rispettare il regime giuridico che assicura l'accesso a tali dati, gli impegni internazionali dei paesi terzi in materia di protezione dei dati, o altri obblighi derivanti da convenzioni o strumenti giuridicamente vincolanti, nonché la partecipazione del paese terzo a sistemi multilaterali o regionali.

L'esistenza di mezzi di ricorso effettivi per i titolari dei dati, gli enti pubblici o i fornitori di servizi di intermediazione dei dati nel paese terzo in questione riveste un'importanza particolare nel contesto del trasferimento di dati non personali a tale paese terzo. Tali tutele dovrebbero pertanto comprendere la disponibilità di diritti azionabili e mezzi di ricorso effettivi. Tali atti di esecuzione dovrebbero lasciare impregiudicati eventuali obblighi giuridici o accordi contrattuali già sottoscritti da un riutilizzatore nell'interesse della protezione dei dati non personali, in particolare dei dati industriali, nonché il diritto degli enti pubblici di obbligare i riutilizzatori a rispettare le condizioni per il riutilizzo, conformemente al presente regolamento.

(22)

Alcuni paesi terzi adottano leggi, regolamenti e altri atti giuridici che mirano a trasferire direttamente i dati non personali o a fornire un accesso diretto agli stessi da parte delle autorità pubbliche nell'Unione, sotto il controllo di persone fisiche e giuridiche poste sotto la giurisdizione degli Stati membri. Le decisioni e le sentenze di autorità giurisdizionali o le decisioni di autorità amministrative di paesi terzi che dispongono un tale trasferimento di dati non personali o l'accesso agli stessi dovrebbero avere carattere esecutivo quando sono basate su un accordo internazionale in vigore tra il paese terzo richiedente e l'Unione o un suo Stato membro, ad esempio un trattato di mutua assistenza giudiziaria. Possono in alcuni casi presentarsi situazioni in cui l'obbligo di trasferire i dati non personali, o di fornirvi accesso, derivante dalla normativa di un paese terzo, sia in conflitto con un obbligo concorrente di proteggere tali dati a norma del diritto dell'Unione o nazionale, in particolare per quanto riguarda la protezione dei diritti fondamentali della persona o degli interessi fondamentali di uno Stato membro connessi alla sicurezza nazionale o alla difesa, nonché la protezione dei dati commerciali sensibili e dei diritti di proprietà intellettuale, compresi anche gli obblighi contrattuali in materia di riservatezza conformemente a tale normativa. In assenza di accordi internazionali atti a disciplinare simili questioni, il trasferimento o l'accesso a dati non personali dovrebbero essere consentiti solo previa verifica, in particolare, che il sistema giuridico del paese terzo imponga che siano indicati i motivi e la proporzionalità della decisione o della sentenza, che la decisione o la sentenza abbia carattere specifico e che l'obiezione motivata del destinatario sia sottoposta a riesame da parte di un'autorità giurisdizionale competente nel paese terzo, cui sia conferito il potere di tenere debitamente conto dei pertinenti interessi giuridici del fornitore di tali dati.

Inoltre, gli enti pubblici, le persone fisiche o giuridiche cui è stato concesso il diritto di riutilizzo dei dati, i fornitori di servizi di intermediazione dei dati e le organizzazioni per l'altruismo dei dati riconosciute dovrebbero garantire, al momento della firma di accordi contrattuali con altre parti private, che i dati non personali detenuti nell'Unione siano accessibili da parte di paesi terzi o ad essi trasferiti solo in conformità del diritto dell'Unione o del diritto nazionale dello Stato membro interessato.

(23)

Al fine di promuovere ulteriore fiducia nell'economia dei dati dell'Unione, è essenziale che siano attuate tutele nei confronti dei cittadini, del settore pubblico e delle imprese dell'Unione che garantiscano loro il controllo sui rispettivi dati strategici e sensibili e che siano rispettati il diritto, i valori e le norme dell'Unione, tra l'altro in termini di sicurezza, protezione dei dati e protezione dei consumatori. Per prevenire un accesso illecito a dati non personali, gli enti pubblici, le persone fisiche o giuridiche cui è stato concesso il diritto di riutilizzo dei dati, i fornitori di servizi di intermediazione dei dati e le organizzazioni per l'altruismo dei dati riconosciute dovrebbero adottare tutte le misure ragionevoli per impedire l'accesso ai sistemi in cui sono conservati dati non personali, compresi cifratura dei dati e politiche aziendali. A tal fine, si dovrebbe garantire che gli enti pubblici, le persone fisiche o giuridiche cui è stato concesso il diritto di riutilizzo dei dati, i fornitori di servizi di intermediazione dei dati e le organizzazioni per l'altruismo dei dati riconosciute rispettino tutte le norme tecniche, i codici di condotta e le certificazioni pertinenti a livello dell'Unione.

(24)

Al fine di creare fiducia nei meccanismi di riutilizzo, può essere necessario prevedere condizioni più rigorose per determinati tipi di dati non personali che possono essere ritenuti altamente sensibili in futuri specifici atti legislativi dell'Unione per quanto riguarda il trasferimento a paesi terzi, se tale trasferimento può compromettere obiettivi di politica pubblica dell'Unione, in linea con gli impegni internazionali. Nel settore della sanità, ad esempio, determinati set di dati detenuti da soggetti operanti nel sistema sanitario pubblico, quali gli ospedali pubblici, potrebbero essere considerati dati sanitari altamente sensibili. Altri settori pertinenti comprendono i trasporti, l'energia, l'ambiente e la finanza. Per garantire pratiche armonizzate in tutta l'Unione, tali tipologie di dati pubblici non personali altamente sensibili dovrebbero essere definite dal diritto dell'Unione, ad esempio nel contesto dello spazio europeo dei dati sanitari o di altra normativa settoriale. È opportuno stabilire mediante atti delegati tali condizioni cui è subordinato il trasferimento di tali dati a paesi terzi. Le condizioni dovrebbero essere proporzionate, non discriminatorie e necessarie per tutelare i legittimi obiettivi di politica pubblica dell'Unione individuati, quali la protezione della salute pubblica, la sicurezza, l'ambiente, la morale pubblica e la protezione dei consumatori, della vita privata e dei dati personali. Le condizioni dovrebbero corrispondere ai rischi identificati in relazione alla sensibilità di tali dati, anche in termini di rischi di reidentificazione dei singoli individui. Tali condizioni potrebbero includere termini applicabili per il trasferimento o modalità tecniche, quali l'obbligo di utilizzare un ambiente di trattamento sicuro, limiti relativi al riutilizzo dei dati nei paesi terzi o categorie di persone aventi facoltà di trasferire tali dati a paesi terzi o che possono accedere ai dati nel paese terzo. In casi eccezionali tali condizioni potrebbero inoltre comprendere restrizioni al trasferimento dei dati a paesi terzi per tutelare l'interesse pubblico.

(25)

Gli enti pubblici dovrebbero poter imporre tariffe per il riutilizzo dei dati, ma dovrebbero altresì poter consentirne il riutilizzo a tariffe ridotte o nulla, ad esempio per determinate categorie di riutilizzo quali il riutilizzo a fini non commerciali o a fini di ricerca scientifica, o il riutilizzo da parte delle PMI e delle start-up, nonché della società civile e degli istituti di istruzione, in modo da incentivare tale riutilizzo al fine di stimolare la ricerca e l'innovazione e sostenere le imprese che rappresentano un'importante fonte di innovazione e incontrano generalmente maggiori difficoltà a raccogliere esse stesse dati pertinenti, in conformità con la normativa in materia di aiuti di Stato. In questo contesto specifico, i fini di ricerca scientifica dovrebbero includere qualsiasi tipo di finalità connessa alla ricerca, indipendentemente dalla struttura organizzativa o finanziaria dell'istituto di ricerca in questione, ad eccezione della ricerca condotta da un'impresa con finalità di sviluppo, miglioramento o ottimizzazione di prodotti o servizi. Le tariffe dovrebbero essere trasparenti, non discriminatorie e limitate ai costi sostenuti e non dovrebbero limitare la concorrenza. Un elenco delle categorie di riutilizzatori ai quali si applicano tariffe ridotte o nulle dovrebbe essere reso pubblico unitamente ai criteri utilizzati per stilare tale elenco.

(26)

Al fine di incentivare il riutilizzo di particolari categorie di dati detenuti da enti pubblici, gli Stati membri dovrebbero istituire uno sportello unico che funga da interfaccia per i riutilizzatori che intendono riutilizzare tali dati. Lo sportello dovrebbe avere un mandato intersettoriale e integrare, ove necessario, gli accordi a livello settoriale. Esso dovrebbe potersi avvalere di strumenti automatizzati per la trasmissione delle richieste di informazioni o delle richieste di riutilizzo. Nel processo di trasmissione dovrebbe essere garantita una sorveglianza umana sufficiente. A tal fine potrebbero essere utilizzate modalità pratiche già esistenti, quali i portali open data. Lo sportello unico dovrebbe disporre di una panoramica delle risorse contenente tutte le fonti di dati disponibili, comprese, se del caso, quelle fonti di dati disponibili presso i punti di informazione settoriali, regionali o locali, con pertinenti informazioni riguardo ai dati disponibili. Gli Stati membri dovrebbero inoltre designare, istituire o agevolare l'istituzione di organismi competenti per sostenere le attività degli enti pubblici che hanno facoltà di consentire il riutilizzo di determinate categorie di dati protetti. I loro compiti possono comprendere la concessione dell'accesso ai dati, ove previsto dalla legislazione settoriale dell'Unione o nazionale. Tali organismi competenti dovrebbero fornire assistenza agli enti pubblici mediante tecniche all'avanguardia, compreso su come strutturare e conservare al meglio i dati al fine di renderli facilmente accessibili, in particolare attraverso interfacce di programmazione delle applicazioni, nonché su come rendere i dati interoperabili, trasferibili e consultabili, tenendo conto delle migliori prassi per il trattamento dei dati, nonché di eventuali norme tecniche e di regolamentazione vigenti, e mediante ambienti di trattamento dei dati sicuri, che consentano modalità di analisi dei dati tali da preservare la riservatezza delle informazioni. Gli organismi competenti dovrebbero operare conformemente alle istruzioni ricevute dall'ente pubblico.

Tale struttura di assistenza potrebbe assistere gli interessati e i titolari dei dati nella gestione del consenso o nell'autorizzazione al riutilizzo, compreso per quanto riguarda il consenso e l'autorizzazione a taluni settori della ricerca scientifica laddove vi sia rispetto delle norme deontologiche riconosciute per la ricerca scientifica. Gli organismi competenti non dovrebbero avere funzioni di controllo, che sono riservate alle autorità di controllo a norma del regolamento (UE) 2016/679. Fatti salvi i poteri di controllo delle autorità per la protezione dei dati, il trattamento dei dati dovrebbe essere effettuato sotto la responsabilità dell'ente pubblico responsabile del registro che contiene i dati, che rimane un titolare del trattamento quale definito dal regolamento (UE) 2016/679 per quanto concerne i dati personali. Gli Stati membri dovrebbero poter disporre di uno o più organismi competenti, che potrebbero operare in settori diversi. I servizi interni degli enti pubblici potrebbero altresì fungere da organismi competenti. Un organismo competente potrebbe essere un ente pubblico che fornisce assistenza ad altri enti pubblici nell'autorizzare il riutilizzo dei dati, se del caso, o un ente pubblico che autorizza il riutilizzo stesso. Fornire assistenza ad altri enti pubblici dovrebbe significare informarli, su richiesta, riguardo alle migliori pratiche per soddisfare i requisiti stabiliti dal presente regolamento, ad esempio riguardo ai mezzi tecnici per rendere disponibile un ambiente di trattamento sicuro oppure per garantire la tutela della vita privata e la riservatezza quando è fornito accesso per il riutilizzo dei dati nell'ambito del presente regolamento.

(27)

Si prevede che i servizi di intermediazione dei dati svolgano un ruolo essenziale nell'economia dei dati, in particolare nel sostenere e promuovere pratiche volontarie di condivisione dei dati tra imprese o nell'agevolare la condivisione dei dati nell'ambito degli obblighi stabiliti dal diritto dell'Unione o nazionale. Essi potrebbero diventare strumenti che agevolano lo scambio di quantità considerevoli di dati pertinenti. I fornitori di servizi di intermediazione dei dati, che possono includere anche enti pubblici, che offrono servizi che collegano i diversi soggetti dispongono del potenziale per contribuire alla messa in comune efficiente dei dati come pure all'agevolazione della condivisione bilaterale dei dati. I servizi di intermediazione dei dati specializzati, che sono indipendenti dagli interessati, dai titolari dei dati e dagli utenti dei dati, potrebbero facilitare l'emergere di nuovi ecosistemi basati sui dati indipendenti da qualsiasi operatore che detenga un grado significativo di potere di mercato, prevedendo nel contempo un accesso non discriminatorio all'economia dei dati per le imprese di tutte le dimensioni, in particolare le PMI e le start-up con mezzi finanziari, giuridici o amministrativi limitati. Ciò sarà particolarmente importante nel contesto della creazione di spazi comuni europei di dati, ossia quadri interoperabili specifici o settoriali o intersettoriali di norme e prassi comuni per condividere o trattare congiuntamente i dati, anche ai fini dello sviluppo di nuovi prodotti e servizi, della ricerca scientifica o di iniziative della società civile. I servizi di intermediazione dei dati potrebbero includere la condivisione bilaterale o multilaterale dei dati o la creazione di piattaforme o banche dati che consentano la condivisione o l'utilizzo congiunto dei dati, nonché l'istituzione di un'infrastruttura specifica per l'interconnessione di interessati e titolari dei dati con gli utenti dei dati.

(28)

Il presente regolamento dovrebbe contemplare i servizi finalizzati a instaurare, attraverso strumenti tecnici, giuridici o di altro tipo, rapporti commerciali ai fini della condivisione dei dati tra un numero indeterminato di interessati e di titolari dei dati, da un lato, e gli utenti dei dati, dall'altro, anche per l'esercizio dei diritti degli interessati in relazione ai dati personali. Laddove le imprese e altri entità offrano molteplici servizi relativi ai dati, solo le attività che riguardano direttamente la fornitura di servizi di intermediazione dei dati sono contemplate dal presente regolamento. La fornitura di servizi di archiviazione sul cloud, di analisi, di software per la condivisione dei dati, di web browser, di plug-in per browser o di un servizio di posta elettronica non dovrebbe essere considerata fornitura di servizi di intermediazione dei dati ai sensi del presente regolamento a condizione che tali servizi si limitino alla messa a disposizione di strumenti tecnici per gli interessati o per i titolari dei dati ai fini della condivisione di dati con altri; tuttavia la fornitura di tali strumenti non mira né a instaurare un rapporto commerciale tra i titolari dei dati e gli utenti dei dati né a consentire al fornitore di servizi di intermediazione dei dati di acquisire informazioni in merito all'instaurazione del rapporto commerciale ai fini della condivisione dei dati. Tra gli esempi di servizi di intermediazione dei dati figurano i mercati dei dati su cui le imprese possono mettere dati a disposizione di terzi, gli orchestratori di ecosistemi di condivisione dei dati aperti a tutte le parti interessate, ad esempio nel contesto degli spazi comuni europei di dati, nonché i pool di dati creati congiuntamente da più persone fisiche o giuridiche con l'intento di concedere licenze per il loro uso a tutte le parti interessate in modo che tutti i partecipanti che contribuiscono al pool siano ricompensati per il loro contributo.

Ciò escluderebbe i servizi che ottengono dati dai titolari dei dati e li aggregano, arricchiscono o trasformano al fine di aggiungervi un valore sostanziale e concedono licenze per l'utilizzo dei dati risultanti agli utenti dei dati, senza instaurare un rapporto commerciale tra i titolari dei dati e gli utenti dei dati. Ciò escluderebbe altresì i servizi che sono utilizzati esclusivamente da un titolare dei dati per consentire l'utilizzo dei dati detenuti da tale titolare dei dati, oppure che sono utilizzati da varie persone giuridiche all'interno di un gruppo chiuso, anche nel quadro di rapporti con i fornitori o i clienti o di collaborazioni contrattualmente stabiliti, in particolare quelli aventi come obiettivo principale quello di garantire le funzionalità di oggetti o dispositivi connessi all'internet delle cose.

(29)

Il presente regolamento non dovrebbe riguardare i servizi il cui obiettivo principale è l'intermediazione di contenuti protetti da diritto d'autore, come i prestatori di servizi di condivisione di contenuti online quali definiti all'articolo 2, punto 6, della direttiva (UE) 2019/790. I «fornitori di un sistema consolidato di pubblicazione» quali definiti all'articolo 2, paragrafo 1, punto 35, del regolamento (UE) n. 600/2014 del Parlamento europeo e del Consiglio (27) e i «prestatori dei servizi di informazione sui conti» quali definiti all'articolo 4, punto 19, della direttiva (UE) 2015/2366 del Parlamento europeo e del Consiglio (28) non dovrebbero essere considerati fornitori di servizi di intermediazione dei dati ai fini del presente regolamento. Il presente regolamento non dovrebbe applicarsi ai servizi offerti da enti pubblici così da facilitare il riutilizzo di dati protetti, detenuti da diversi enti pubblici conformemente al presente regolamento, o l’utilizzo di eventuali altri dati, nella misura in cui tali servizi non abbiano l’intenzione di creare rapporti commerciali. Le organizzazioni per l'altruismo dei dati di cui al presente regolamento non dovrebbero essere considerate offrire servizi di intermediazione dei dati a condizione che tali servizi non creino un rapporto commerciale tra potenziali utenti dei dati, da un lato, e interessati e titolari dei dati che mettono a disposizione i dati per motivi altruistici, dall'altro. Altri servizi non finalizzati a instaurare rapporti commerciali, come i repository volti a consentire il riutilizzo dei dati della ricerca scientifica conformemente ai principi dell'accesso aperto, non dovrebbero essere considerati servizi di intermediazione dei dati ai sensi del presente regolamento.

(30)

Una categoria specifica di fornitori di servizi di intermediazione dei dati comprende i fornitori che offrono i loro servizi agli interessati. Tali fornitori di servizi di intermediazione dei dati cercano di rafforzare la capacità di agire degli interessati e, in particolare, il controllo dei singoli individui in merito ai dati che li riguardano. Tali fornitori assisterebbero i singoli individui nell'esercizio dei loro diritti a norma del regolamento (UE) 2016/679, in particolare gestendone la concessione e la revoca del consenso al trattamento dei dati, il diritto all'accesso ai propri dati, il diritto alla rettifica dei dati personali inesatti, il diritto alla cancellazione o «diritto all'oblio», il diritto alla limitazione del trattamento e il diritto alla portabilità dei dati, che consente agli interessati di trasferire i propri dati personali da un titolare del trattamento a un altro. In tale contesto, è importante che il modello commerciale di tali fornitori garantisca che non vi siano incentivi disallineati che incoraggino i singoli individui a utilizzare tali servizi per mettere a disposizione più dati che li riguardano di quanto non sia nel loro stesso interesse. Ciò potrebbe comprendere l'offerta di consulenza ai singoli individui quanto ai possibili utilizzi dei loro dati e il controllo della dovuta diligenza degli utenti dei dati prima che sia consentito loro di contattare gli interessati, al fine di evitare pratiche fraudolente. In alcune situazioni potrebbe essere auspicabile raccogliere dati reali in uno spazio di dati personali, affinché il trattamento possa aver luogo all'interno di tale spazio senza che i dati personali siano trasmessi a terzi, al fine di ottimizzare la protezione dei dati personali e della vita privata. Tali spazi di dati personali potrebbero contenere dati personali statici quali nome, indirizzo o data di nascita, nonché dati dinamici generati da una persona ad esempio con l'utilizzo di un servizio online o di un oggetto connesso all'internet delle cose. Potrebbero essere utilizzati anche per conservare informazioni verificate sull'identità quali i numeri di passaporto o informazioni sulla sicurezza sociale, nonché credenziali quali informazioni sulla patente di guida, diplomi o conti bancari.

(31)

Le cooperative di dati mirano a raggiungere una serie di obiettivi, in particolare a rafforzare la posizione dei singoli individui, affinché compiano scelte informate prima di acconsentire all'utilizzo dei dati, influenzando i termini e le condizioni, stabiliti dalle organizzazioni di utenti dei dati, cui è subordinato l'utilizzo dei dati, in modo da offrire scelte migliori ai singoli membri del gruppo, o trovando possibili soluzioni alle posizioni contrastanti dei singoli membri di un gruppo in merito alle modalità di utilizzo dei dati laddove tali dati riguardino più interessati all'interno di tale gruppo. In tale contesto è importante riconoscere che i diritti a norma del regolamento (UE) 2016/679 sono diritti personali dell'interessato e che quest'ultimo non può rinunciarvi. Le cooperative di dati potrebbero altresì rappresentare uno strumento utile per imprese individuali e PMI che, in termini di conoscenze in materia di condivisione dei dati, sono spesso equiparabili ai singoli individui.

(32)

Al fine di far crescere la fiducia in tali servizi di intermediazione dei dati, in particolare in relazione all'utilizzo dei dati e al rispetto delle condizioni imposte dagli interessati e dai titolari dei dati, è necessario istituire un quadro normativo a livello dell'Unione che definisca requisiti altamente armonizzati relativi alla fornitura affidabile di tali servizi di intermediazione dei dati e che sia attuato dalle autorità competenti. Tale quadro contribuirà a garantire che gli interessati nonché i titolari e gli utenti dei dati abbiano un maggiore controllo sull'accesso ai propri dati e sul loro utilizzo, conformemente al diritto dell'Unione. La Commissione potrebbe inoltre incoraggiare e facilitare l'elaborazione di codici di condotta a livello dell'Unione, coinvolgendo i pertinenti portatori di interessi, in particolare in materia di interoperabilità. Sia in situazioni in cui la condivisione di dati avviene tra due imprese sia quando ha luogo tra impresa e consumatore, i fornitori di servizi di intermediazione dei dati dovrebbero offrire una modalità nuova, «europea», di governance dei dati, garantendo una separazione, nell'economia dei dati, tra fornitura, intermediazione e utilizzo dei dati. I fornitori di servizi di intermediazione dei dati possono anche mettere a disposizione un'infrastruttura tecnica specifica per l'interconnessione di interessati e titolari dei dati con gli utenti dei dati. A tale proposito, è particolarmente importante configurare l'infrastruttura in modo tale che non vi siano ostacoli tecnici o di altro tipo che impediscano alle PMI e alle start-up di partecipare all'economia dei dati.

I fornitori di servizi di intermediazione dei dati dovrebbero essere autorizzati a offrire strumenti e servizi supplementari specifici ai titolari dei dati o agli interessati allo scopo specifico di facilitare lo scambio dei dati, come la conservazione temporanea, la cura, la conversione, l'anonimizzazione e la pseudonimizzazione. Tali strumenti e servizi dovrebbero essere utilizzati solo su richiesta o approvazione esplicita del titolare dei dati o dell'interessato e gli strumenti di terzi offerti in tale contesto non dovrebbero utilizzare i dati per altri scopi. Dovrebbe nel contempo essere consentito ai fornitori di servizi di intermediazione dei dati di adattare i dati scambiati, ad esempio convertendoli in formati specifici, per migliorarne l'usabilità dei dati per l'utente dei dati qualora quest'ultimo lo desideri, o migliorare l'interoperabilità.

(33)

È importante consentire un ambiente competitivo per la condivisione dei dati. Un elemento essenziale attraverso il quale aumentare la fiducia e il controllo dei titolari dei dati, interessati e utenti dei dati nei servizi di intermediazione dei dati è la neutralità dei fornitori di servizi di intermediazione dei dati riguardo ai dati scambiati tra titolari dei dati o interessati e utenti dei dati. È pertanto necessario che i fornitori di servizi di intermediazione dei dati agiscano solo in qualità di intermediari nelle transazioni e non utilizzino per nessun altro fine i dati scambiati. Le condizioni commerciali, compresa la fissazione dei prezzi, per la fornitura dei servizi di intermediazione dei dati non dovrebbero essere subordinate al fatto che un potenziale titolare dei dati o utente dei dati utilizzi altri servizi forniti dallo stesso fornitore di servizi di intermediazione dei dati o da un'entità collegata, tra cui l'archiviazione, l'analisi, l'intelligenza artificiale o altre applicazioni basate sui dati, e, in caso affermativo, dalla misura in cui il titolare dei dati o gli utenti dei dati utilizzino tali altri servizi. Ciò renderà altresì necessaria una separazione strutturale tra il servizio di intermediazione dei dati e qualsiasi altro servizio fornito, in modo tale da evitare conflitti di interessi. Ciò significa che il servizio di intermediazione dei dati dovrebbe essere fornito mediante una persona giuridica distinta dalle altre attività di tale fornitore di servizi di intermediazione dei dati. Tuttavia i fornitori di servizi di intermediazione dei dati dovrebbero poter utilizzare i dati forniti dal titolare dei dati per migliorare i loro servizi di intermediazione dei dati.

I fornitori di servizi di intermediazione dei dati dovrebbero essere in grado di mettere a disposizione dei titolari dei dati, degli interessati o degli utenti dei dati strumenti propri o di terzi al fine di agevolare lo scambio di dati, ad esempio strumenti per la conversione o la cura di dati, solamente su richiesta esplicita o con l'esplicita approvazione dell'interessato o del titolare dei dati. Gli strumenti di terzi offerti in tale contesto non dovrebbero utilizzare i dati per finalità diverse da quelle relative ai servizi di intermediazione dei dati. I fornitori di servizi di intermediazione dei dati che agiscono da intermediari tra i singoli individui, quali gli interessati, e le persone giuridiche, quali gli utenti dei dati, dovrebbero inoltre avere l'obbligo fiduciario nei confronti dei singoli individui di garantire che agiscono nel migliore interesse degli interessati. Le questioni concernenti la responsabilità per tutti i danni e pregiudizi materiali e immateriali derivanti da un comportamento del fornitore di servizi di intermediazione dei dati potrebbero essere affrontate nel pertinente contratto, sulla base dei regimi nazionali di responsabilità.

(34)

I fornitori di servizi di intermediazione dei dati dovrebbero adottare misure ragionevoli per garantire l'interoperabilità all'interno di un settore e tra settori diversi al fine di assicurare il corretto funzionamento del mercato interno. Le misure ragionevoli potrebbero comprendere il rispetto delle vigenti norme di uso comune nel settore in cui opera il fornitore di servizi di intermediazione dei dati. Il comitato europeo per l'innovazione in materia di dati dovrebbe agevolare l'emergere di ulteriori norme settoriali, ove necessario. I fornitori di servizi di intermediazione dei dati dovrebbero attuare tempestivamente le misure per l'interoperabilità tra servizi di intermediazione dei dati adottate dal comitato europeo per l'innovazione in materia di dati.

(35)

Il presente regolamento dovrebbe lasciare impregiudicati l'obbligo incombente ai fornitori di servizi di intermediazione dei dati di rispettare il regolamento (UE) 2016/679 e la responsabilità delle autorità di controllo di garantire il rispetto di tale regolamento. Qualora i fornitori di servizi di intermediazione dei dati trattino dati personali, il presente regolamento non dovrebbe pregiudicare la protezione degli stessi. Qualora siano titolari del trattamento o responsabili del trattamento dei dati quali definiti nel regolamento (UE) 2016/679, i fornitori di servizi di intermediazione dei dati sono vincolati dalle norme di tale regolamento.

(36)

Si prevede che i fornitori di servizi di intermediazione dei dati dispongano di procedure e misure tese a imporre sanzioni per le pratiche fraudolente o abusive in relazione ai soggetti che richiedono l'accesso tramite i loro servizi di intermediazione dei dati, anche attraverso misure quali l'esclusione degli utenti di dati che violano i termini del servizio o il diritto vigente.

(37)

È altresì opportuno che i fornitori di servizi di intermediazione dei dati adottino misure per garantire il rispetto del diritto della concorrenza e dispongano di procedure a tal fine. Ciò vale in particolare nelle situazioni in cui la condivisione dei dati consente alle imprese di venire a conoscenza delle strategie di mercato dei loro concorrenti effettivi o potenziali. Le informazioni sensibili sotto il profilo della concorrenza comprendono abitualmente le informazioni su dati dei clienti, prezzi futuri, costi di produzione, quantità, fatturato, vendite o capacità.

(38)

È opportuno istituire una procedura di notifica per i servizi di intermediazione dei dati al fine di garantire una governance dei dati all'interno dell'Unione basata su uno scambio di dati affidabile. I vantaggi di un ambiente affidabile sarebbero conseguiti al meglio mediante l'imposizione di una serie di requisiti per la fornitura di servizi di intermediazione dei dati, senza che sia tuttavia necessaria l'adozione di decisioni o di atti amministrativi espliciti da parte dell'autorità competente per i servizi di intermediazione dei dati per la fornitura di tali servizi. La procedura di notifica non dovrebbe porre indebiti ostacoli alle PMI, alle start-up e alle organizzazioni della società civile e dovrebbe rispettare il principio di non discriminazione.

(39)

Al fine di sostenere una fornitura transfrontaliera efficace dei servizi, è opportuno richiedere al fornitore di servizi di intermediazione dei dati l'invio di una notifica solo all'autorità competente per i servizi di intermediazione dei dati dello Stato membro in cui è situato il suo stabilimento principale o in cui si trova il suo rappresentante legale. Una tale notifica dovrebbe consistere in una semplice dichiarazione dell'intenzione di fornire tali servizi e dovrebbe essere completata solo fornendo le informazioni di cui al presente regolamento. A seguito della relativa notifica, il fornitore di servizi di intermediazione dei dati dovrebbe poter iniziare a operare in qualsiasi Stato membro senza ulteriori obblighi di notifica.

(40)

La procedura di notifica stabilita nel presente regolamento dovrebbe lasciare impregiudicate le norme supplementari specifiche in materia di fornitura di servizi di intermediazione dei dati applicabili mediante una normativa settoriale.

(41)

Lo stabilimento principale di un fornitore di servizi di intermediazione dei dati nell'Unione dovrebbe essere ove ha sede l'amministrazione centrale del fornitore nell'Unione. Lo stabilimento principale di un fornitore di servizi di intermediazione dei dati nell'Unione dovrebbe essere determinato in base a criteri oggettivi e implicare l'effettivo e reale svolgimento di attività di gestione. Le attività di un fornitore di servizi di intermediazione dei dati dovrebbero inoltre rispettare il diritto nazionale dello Stato membro in cui esso ha lo stabilimento principale.

(42)

Al fine di garantire il rispetto delle condizioni definite nel presente regolamento da parte dei fornitori di servizi di intermediazione dei dati, i fornitori di tali servizi dovrebbero avere il loro stabilimento principale nell'Unione. Qualora un fornitore di servizi di intermediazione dei dati non stabilito nell'Unione offra servizi nell'Unione, dovrebbe designare un rappresentante legale. La designazione di un rappresentante legale è necessaria in questi casi, poiché tali fornitori di servizi di intermediazione dei dati gestiscono sia dati personali sia dati commerciali riservati e ciò rende necessario il controllo ravvicinato del rispetto del presente regolamento da parte di tali fornitori di servizi di intermediazione dei dati. Per determinare se tale fornitore di servizi di intermediazione dei dati stia offrendo servizi nell'Unione, è opportuno verificare se risulta che il fornitore di servizi di intermediazione dei dati stia progettando di fornire servizi a persone in uno o più Stati membri. La mera accessibilità nell'Unione al sito web o a un indirizzo e-mail e ad altri dati di contatto del fornitore di servizi di intermediazione dei dati, o l'utilizzo di una lingua abitualmente utilizzata nel paese terzo in cui è stabilito il fornitore di servizi di intermediazione dei dati, non dovrebbero essere ritenuti sufficienti ad accertare tale intenzione. Tuttavia, fattori quali l'utilizzo di una lingua o di una valuta abitualmente utilizzata in uno o più Stati membri, con la possibilità di ordinare servizi in tale lingua, o la menzione di utenti che si trovano nell'Unione potrebbero evidenziare che il fornitore di servizi di intermediazione dei dati stia progettando di offrire servizi all'interno dell'Unione.

Un rappresentante legale designato dovrebbe agire a nome del fornitore di servizi di intermediazione dei dati e le autorità competenti per servizi di intermediazione dei dati dovrebbero avere la possibilità di contattare il rappresentante legale, oltre al fornitore di servizi di intermediazione dei dati o al suo posto, anche in caso di violazione, al fine di avviare un procedimento esecutivo contro un prestatore di servizi di intermediazione dei dati inadempiente non stabilito nell'Unione. Il rappresentante legale dovrebbe essere designato mediante mandato scritto del fornitore di servizi di intermediazione dei dati affinché agisca a suo nome con riguardo agli obblighi che a quest'ultimo derivano dal presente regolamento.

(43)

Al fine di aiutare gli interessati e i titolari a identificare facilmente i fornitori di servizi di intermediazione dei dati riconosciuti nell’Unione, e quindi ad avere maggiore fiducia in essi, occorre creare un logo comune riconoscibile in tutta l'Unione oltre al titolo di «fornitore di servizi di intermediazione dei dati riconosciuto nell'Unione».

(44)

Le autorità competenti per i servizi di intermediazione dei dati designate per monitorare la conformità dei fornitori di servizi di intermediazione dei dati ai requisiti del presente regolamento dovrebbero essere scelte in base alle loro capacità e competenze in materia di condivisione orizzontale o settoriale dei dati. Esse dovrebbero essere indipendenti da qualsiasi fornitore di servizi di intermediazione dei dati, nonché trasparenti e imparziali nello svolgimento dei loro compiti. Ciascuno Stato membro dovrebbe notificare alla Commissione l'identità di tali autorità competenti per i servizi di intermediazione dei dati. I poteri e le competenze delle autorità competenti per i servizi di intermediazione dei dati dovrebbero lasciare impregiudicati i poteri delle autorità per la protezione dei dati. In particolare, per qualsiasi questione che richieda la valutazione della conformità al regolamento (UE) 2016/679, l'autorità competente per i servizi di intermediazione dei dati dovrebbe, se del caso, chiedere all'autorità di controllo competente istituita a norma di tale regolamento di emettere un parere o una decisione.

(45)

L'utilizzo per obiettivi di interesse generale di dati messi a disposizione su base volontaria dagli interessati, sulla base del consenso informato di questi ultimi, o di dati non personali messi a disposizione dai titolari presenta grandi potenzialità. Tali obiettivi di interesse generale comprendono l'assistenza sanitaria, la lotta ai cambiamenti climatici, il miglioramento della mobilità, l'agevolazione dell'elaborazione, della produzione e della divulgazione di statistiche europee, il miglioramento della fornitura dei servizi pubblici, o delle politiche pubbliche. Anche il sostegno alla ricerca scientifica dovrebbe essere considerato un obiettivo di interesse generale. Il presente regolamento dovrebbe mirare a contribuire allo sviluppo di pool di dati messi a disposizione sulla base dell'altruismo dei dati, che abbiano dimensioni sufficienti da consentire l'analisi dei dati e l'apprendimento automatico, anche attraverso l'Unione. Per conseguire tale obiettivo, gli Stati membri dovrebbero poter avere disposizioni organizzative o tecniche, o entrambi, che agevolino l'altruismo dei dati. Tali disposizioni potrebbero includere la messa a disposizione degli interessati o dei titolari dei dati di strumenti di facile utilizzo per dare il consenso o l'autorizzazione all'uso altruistico dei loro dati, l'organizzazione di campagne di sensibilizzazione, o uno scambio strutturato tra le autorità competenti sui benefici dell'altruismo dei dati per le politiche pubbliche, ad esempio sul fronte del miglioramento del traffico, della salute pubblica e della lotta ai cambiamenti climatici). A tal fine, gli Stati membri dovrebbero poter definire politiche nazionali per l'altruismo dei dati. Gli interessati dovrebbero poter ricevere un compenso esclusivamente in relazione ai costi da loro sostenuti nel mettere a disposizione i propri dati per obiettivi di interesse generale.

(46)

La registrazione di organizzazioni per l’altruismo dei dati riconosciute e l’uso del titolo «organizzazione per l'altruismo dei dati riconosciuta nell'Unione» dovrebbe portare alla creazione di repository di dati. La registrazione in uno Stato membro sarebbe valida in tutta l'Unione, e dovrebbe agevolare l'utilizzo transfrontaliero dei dati all'interno dell'Unione e lo sviluppo di pool di dati riguardanti più Stati membri. I titolari dei dati potrebbero concedere l'autorizzazione al trattamento dei loro dati non personali per una serie di finalità non stabilite al momento di concedere l'autorizzazione. La conformità di tali organizzazioni per l'altruismo dei dati riconosciute con a una serie di requisiti stabiliti nel presente regolamento dovrebbe infondere fiducia quanto al fatto che i dati messi a disposizione a fini altruistici servano un obiettivo di interesse generale. A tale fiducia dovrebbero in particolare contribuire un luogo di stabilimento o un rappresentante legale all'interno dell'Unione, nonché il requisito che le organizzazioni per l'altruismo dei dati riconosciute non siano organizzazioni a scopo di lucro, gli obblighi di trasparenza e le tutele specifiche volte a proteggere i diritti e gli interessi degli interessati e delle imprese.

Ulteriori tutele dovrebbero comprendere la possibilità di trattare i dati pertinenti in un ambiente di trattamento sicuro gestito dalle organizzazioni per l'altruismo dei dati riconosciute, meccanismi di sorveglianza quali consigli o comitati etici, compresi i rappresentanti della società civile, per garantire che il titolare del trattamento mantenga standard elevati di etica scientifica e di protezione dei diritti fondamentali, strumenti tecnici efficaci e comunicati con chiarezza per revocare o modificare il consenso in qualsiasi momento, sulla base degli obblighi di informazione dei responsabili del trattamento dei dati a norma del regolamento (UE) 2016/679, nonché strumenti che consentano agli interessati di essere informati circa l'utilizzo dei dati che hanno messo a disposizione. La registrazione quale organizzazione per l'altruismo dei dati riconosciuta non dovrebbe essere un prerequisito per l'esercizio delle attività di altruismo dei dati. È opportuno che la Commissione elabori, mediante atti delegati, un codice in stretta cooperazione con le organizzazioni per l'altruismo dei dati e i portatori di interessi. Il rispetto di tale codice dovrebbe essere un requisito per la registrazione quali organizzazioni per l'altruismo dei dati riconosciute.

(47)

Al fine di aiutare gli interessati e i titolari a identificare facilmente le organizzazioni per l'altruismo dei dati riconosciute, e quindi ad avere maggiore fiducia in esse, occorre creare un logo comune riconoscibile in tutta l'Unione. Il logo comune dovrebbe essere accompagnato da un codice QR con un link al registro pubblico dell'Unione delle organizzazioni per l'altruismo dei dati riconosciute.

(48)

Il presente regolamento non dovrebbe pregiudicare l'istituzione, l'organizzazione e il funzionamento di entità che intendono impegnarsi nell'ambito dell'altruismo dei dati a norma del diritto nazionale e che si basa sui requisiti imposti del diritto nazionale per operare in modo legale in uno Stato membro in qualità di organizzazione senza scopo di lucro.

(49)

Il presente regolamento non dovrebbe pregiudicare l'istituzione, l'organizzazione e il funzionamento di entità diverse dagli enti pubblici che praticano la condivisione dei dati e dei contenuti sulla base di licenze aperte, contribuendo quindi alla creazione di risorse comuni a disposizione di tutti. Dovrebbero essere comprese le piattaforme aperte e collaborative di condivisione delle conoscenze, i repository scientifici e accademici ad accesso aperto, le piattaforme di sviluppo di software open source e le piattaforme di aggregazione di contenuti ad accesso aperto.

(50)

Le organizzazioni per l'altruismo dei dati riconosciute dovrebbero poter raccogliere dati pertinenti direttamente da persone fisiche e giuridiche o trattare dati raccolti da terzi. Il trattamento dei dati raccolti potrebbe essere effettuato da organizzazioni per l'altruismo dei dati per finalità da esse stesse stabilite oppure, se del caso, esse potrebbero acconsentire al trattamento da parte di terzi per tali finalità. Qualora siano titolari del trattamento o responsabili del trattamento dei dati ai sensi del regolamento (UE) 2016/679, le organizzazioni per l'altruismo dei dati riconosciute dovrebbero rispettare le norme di tale regolamento. L'altruismo dei dati sarebbe basato in genere sul consenso degli interessati ai sensi dell'articolo 6, paragrafo 1, lettera a), e dell'articolo 9, paragrafo 2, lettera a), del regolamento (UE) 2016/679, che dovrebbe rispettare i requisiti per il consenso lecito conformemente agli articoli 7 e 8 di tale regolamento. A norma del regolamento (UE) 2016/679, le finalità di ricerca scientifica potrebbero essere sostenute dal consenso in determinati settori di ricerca scientifica, laddove vi sia rispetto delle norme deontologiche riconosciute per la ricerca scientifica, o soltanto a determinati settori di ricerca o parti di progetti di ricerca. L'articolo 5, paragrafo 1, lettera b), del regolamento (UE) 2016/679 specifica che un ulteriore trattamento a fini di ricerca scientifica o storica o a fini statistici non è, conformemente all'articolo 89, paragrafo 1, del regolamento (UE) 2016/679, considerato incompatibile con le finalità iniziali. Per i dati non personali, i limiti di utilizzo dovrebbero essere indicati nell'autorizzazione concessa dal titolare dei dati.

(51)

Le autorità competenti per la registrazione delle organizzazioni per l'altruismo dei dati designate per monitorare la conformità delle organizzazioni per l'altruismo dei dati riconosciute ai requisiti del presente regolamento dovrebbero essere scelte in base alle loro capacità e competenze. Esse dovrebbero essere indipendenti da qualsiasi organizzazione per l'altruismo dei dati, nonché trasparenti e imparziali nello svolgimento dei loro compiti. Ciascuno Stato membro dovrebbe notificare alla Commissione l'identità di tali autorità competenti per la registrazione delle organizzazioni per l'altruismo dei dati. I poteri e le competenze delle autorità competenti per la registrazione delle organizzazioni per l'altruismo dei dati dovrebbero lasciare impregiudicati i poteri delle autorità per la protezione dei dati. In particolare, per qualsiasi questione che richieda la valutazione della conformità al regolamento (UE) 2016/679, l'autorità competente per la registrazione delle organizzazioni per l'altruismo dei dati dovrebbe, se del caso, chiedere all'autorità di controllo competente istituita a norma di tale regolamento di emettere un parere o una decisione.

(52)

Per promuovere la fiducia e conferire ulteriore certezza giuridica e facilità d'uso alla procedura di concessione e revoca del consenso, in particolare nel contesto dell'utilizzo a fini statistici e di ricerca scientifica di dati messi a disposizione su base altruistica, è opportuno elaborare e utilizzare nel contesto della condivisione di dati su base altruistica un modulo europeo di consenso all'altruismo dei dati. Tale modulo dovrebbe contribuire a garantire agli interessati una maggiore trasparenza in merito all'accesso ai loro dati e all'utilizzo degli stessi in conformità al consenso da loro espresso nonché nel pieno rispetto delle norme in materia di protezione dei dati. Esso dovrebbe altresì facilitare la concessione e la revoca del consenso ed essere utilizzato per ottimizzare le attività di altruismo dei dati effettuate dalle imprese e fornire un meccanismo che consenta a queste ultime di revocare la loro autorizzazione all'utilizzo dei dati. È opportuno che il modulo europeo di consenso all'altruismo dei dati utilizzi un approccio modulare che ne consenta la personalizzazione in funzione di settori specifici e finalità diverse affinché sia possibile tenere conto delle specificità dei singoli settori, anche in termini di protezione dei dati.

(53)

Al fine di attuare con successo il quadro di governance dei dati, è opportuno istituire un comitato europeo per l'innovazione in materia di dati sotto forma di un gruppo di esperti. Il comitato europeo per l'innovazione in materia di dati dovrebbe essere costituito da rappresentanti delle autorità competenti per i servizi di intermediazione dei dati e dalle autorità competenti per la registrazione delle organizzazioni per l'altruismo dei dati di tutti gli Stati membri, del comitato europeo per la protezione dei dati, del garante europeo della protezione dei dati, dell'Agenzia dell'Unione europea per la cibersicurezza (ENISA), della Commissione, nonché dal rappresentante dell'UE per le PMI o da un rappresentante nominato dalla rete dei rappresentanti per le PMI e da altri rappresentanti di organi pertinenti di settori specifici e di organi con competenze specifiche. Il comitato europeo per l'innovazione in materia di dati dovrebbe essere composto da un certo numero di sottogruppi, compreso un sottogruppo per il coinvolgimento dei portatori di interessi composto da rappresentanti pertinenti delle imprese, quali sanità, ambiente, agricoltura, trasporti, energia, produzione industriale, media, settori culturali e creativi e statistica, come pure del mondo accademico, della ricerca, della società civile, delle organizzazioni di normazione, dei pertinenti spazi comuni europei dei dati e altri portatori di interessi e terzi, tra cui gli organismi con competenze specifiche, quali gli istituti nazionali di statistica.

(54)

Il comitato europeo per l'innovazione in materia di dati dovrebbe assistere la Commissione nel coordinare le pratiche e le politiche nazionali sui temi contemplati dal presente regolamento e nel sostenere l'utilizzo intersettoriale dei dati aderendo ai principi del quadro europeo di interoperabilità e utilizzando norme e specifiche europee e internazionali, anche attraverso la piattaforma multilaterale per la normazione delle TIC, i Core Vocabularies e i Building Blocks del meccanismo per collegare l'Europa, e dovrebbe tener conto delle attività di normazione in corso in settori o ambiti specifici. Le attività di normazione tecnica potrebbero comprendere l'individuazione di priorità per l'elaborazione di norme e l'istituzione e il mantenimento di una serie di norme tecniche e giuridiche per la trasmissione di dati tra due ambienti di trattamento che renda possibile l'organizzazione degli spazi di dati, in particolare nel chiarire e distinguere le norme e le pratiche intersettoriali da quelle settoriali. È opportuno che il comitato europeo per l'innovazione in materia di dati collabori con organismi, reti o gruppi di esperti settoriali o con altre organizzazioni intersettoriali che si occupano del riutilizzo dei dati. Per quanto concerne l'altruismo dei dati, il comitato europeo per l'innovazione in materia di dati dovrebbe assistere la Commissione nell'elaborazione del modulo di consenso, previa consultazione con il comitato europeo per la protezione dei dati. Proponendo orientamenti sugli spazi comuni europei di dati, il comitato europeo per l'innovazione in materia di dati dovrebbe sostenere lo sviluppo di un'economia dei dati europea funzionante basata su tali spazi, come indicato nella strategia europea dei dati.

(55)

Gli Stati membri dovrebbero stabilire norme in materia di sanzioni applicabili alle violazioni del presente regolamento e adottare tutte le misure necessarie per garantirne l'applicazione. Le sanzioni previste dovrebbero essere effettive, proporzionate e dissuasive. Discrepanze sostanziali tra le norme in materia di sanzioni potrebbero portare a una distorsione della concorrenza nel mercato unico digitale. L'armonizzazione di tali norme potrebbe essere utile a tal riguardo.

(56)

Al fine di provvedere a un'efficiente applicazione del presente regolamento e garantire che i fornitori di servizi di intermediazione dei dati e le entità che desiderano registrarsi come organizzazioni per l'altruismo dei dati riconosciute siano in grado di accedere ed espletare le procedure di notifica e registrazione interamente in linea e in modo transfrontaliero, tali procedure dovrebbero essere offerte attraverso lo sportello digitale unico istituito a norma del regolamento (UE) 2018/1724 del Parlamento europeo e del Consiglio (29). Tali procedure dovrebbero essere aggiunte all'elenco delle procedure riportato nell'allegato II del regolamento (UE) 2018/1724.

(57)

È pertanto opportuno modificare di conseguenza il regolamento (UE) 2018/1724.

(58)

Al fine di garantire l'efficacia del presente regolamento, è opportuno delegare alla Commissione il potere di adottare atti conformemente all'articolo 290 TFUE, onde integrare il presente regolamento stabilendo, in specifici atti legislativi dell'Unione, condizioni speciali applicabili ai trasferimenti a paesi terzi di alcune categorie di dati non personali ritenuti altamente sensibili e istituendo un codice per le organizzazioni per l'altruismo dei dati riconosciute cui tali organizzazioni devono conformarsi, che stabilisca requisiti di informazione, tecnici e di sicurezza, nonché tabelle di marcia per la comunicazione e norme di interoperabilità. È di particolare importanza che durante i lavori preparatori la Commissione svolga adeguate consultazioni, anche a livello di esperti, nel rispetto dei principi stabiliti nell'accordo interistituzionale «Legiferare meglio» del 13 aprile 2016 (30). In particolare, al fine di garantire la parità di partecipazione alla preparazione degli atti delegati, il Parlamento europeo e il Consiglio ricevono tutti i documenti contemporaneamente agli esperti degli Stati membri, e i loro esperti hanno sistematicamente accesso alle riunioni dei gruppi di esperti della Commissione incaricati della preparazione di tali atti delegati.

(59)

Al fine di garantire condizioni uniformi di esecuzione del presente regolamento, dovrebbero essere attribuite alla Commissione competenze di esecuzione per assistere gli enti pubblici e i riutilizzatori a rispettare le condizioni di riutilizzo stabilite nel presente regolamento, stabilendo clausole contrattuali tipo relative al trasferimento di dati non personali a un paese terzo da parte dei riutilizzatori, per dichiarare che le disposizioni legislative, di controllo e in materia di applicazione della normativa di un paese terzo sono equivalenti alla tutela garantita dal diritto dell'Unione, per sviluppare il disegno del logo comune per i fornitori di servizi di intermediazione dei dati e del logo comune per le organizzazioni per l'altruismo dei dati riconosciute, e per stabilire ed elaborare il modulo europeo di consenso all'altruismo dei dati. È opportuno che tali competenze siano esercitate conformemente al regolamento (UE) n. 182/2011 del Parlamento europeo e del Consiglio (31).

(60)

Il presente regolamento non dovrebbe incidere sull'applicazione delle norme in materia di concorrenza, in particolare gli articoli 101 e 102 TFUE. Le misure previste dal presente regolamento non dovrebbero essere utilizzate per limitare la concorrenza in maniera contraria al TFUE. Tale aspetto riguarda in particolare le norme sullo scambio di informazioni sensibili dal punto di vista della concorrenza attraverso servizi di intermediazione dei dati tra concorrenti effettivi o potenziali.

(61)

Il garante europeo della protezione dei dati e il comitato europeo per la protezione dei dati sono stati consultati a norma dell'articolo 42, paragrafo 1, del regolamento (UE) 2018/1725 e hanno emesso i loro pareri il 10 marzo 2021.

(62)

Il presente regolamento segue come principi guida il rispetto dei diritti fondamentali e i principi riconosciuti in particolare dalla Carta dei diritti fondamentali dell'Unione europea, compresi il diritto alla vita privata, la protezione dei dati personali, la libertà di impresa, il diritto di proprietà e il diritto all'inserimento delle persone con disabilità. Nel contesto di quest'ultimo, è opportuno che gli enti pubblici e i servizi di cui al presente regolamento si conformino, se del caso, alle direttive (UE) 2016/2102 (32) e (UE) 2019/882 (33) del Parlamento europeo e del Consiglio. È inoltre opportuno tenere conto della «progettazione per tutti» nel contesto delle tecnologie dell'informazione e della comunicazione, vale a dire lo sforzo consapevole e sistematico di applicare in modo proattivo principi, metodi e strumenti per promuovere la progettazione universale nelle tecnologie informatiche, comprese le tecnologie basate su internet, evitando in tal modo la necessità di adattamenti a posteriori o di una progettazione specializzata.

(63)

Poiché gli obiettivi del presente regolamento, ossia il riutilizzo, all'interno dell'Unione, di determinate categorie di dati detenuti da enti pubblici, nonché l'istituzione di un quadro di notifica e controllo per la fornitura di servizi di intermediazione dei dati e di un quadro per la registrazione volontaria delle entità che mettono i dati a disposizione a fini altruistici e di un quadro per l’istituzione di un comitato europeo per l'innovazione in materia di dati, non possono essere conseguiti in misura sufficiente dagli Stati membri ma, a motivo della loro portata e dei loro effetti, possono essere conseguiti meglio a livello di Unione, quest'ultima può intervenire in base al principio di sussidiarietà sancito dall'articolo 5 del trattato sull'Unione europea. Il presente regolamento si limita a quanto è necessario per conseguire tali obiettivi in ottemperanza al principio di proporzionalità enunciato nello stesso articolo,