Il Regolamento sui dati dell’Unione europea 2023/2854, pubblicato nella Gazzetta ufficiale dell’Unione europea del 22 dicembre 2023 e applicabile, ai sensi dell’articolo 50, a decorrere dal 12 settembre 2025, istituisce un quadro orizzontale e direttamente applicabile in tutti gli Stati membri per l’accesso equo ai dati e il loro utilizzo.¹
Il regolamento opera su sei assi normativi distinti:
- messa a disposizione dei dati all’utente,
- messa a disposizione dei dati ai destinatari scelti dall’utente,
- accesso eccezionale degli enti pubblici,
- agevolazione del passaggio tra servizi di trattamento dei dati,
- garanzie contro l’accesso illecito di terzi a dati non personali
- e interoperabilità.²
Il risultato è un sistema equilibrato e regolato, nel quale il diritto di accesso, la tutela degli investimenti e la libertà contrattuale convivono all’interno di un quadro normativo vincolante.³
Indice degli argomenti
Genesi e architettura generale
Il considerando 1 identifica nella proliferazione dei prodotti connessi a internet il motore trasformativo dell’economia dei dati, riconoscendo che gli stessi dati possono essere utilizzati e riutilizzati per una varietà di scopi in misura illimitata, senza perdita di qualità o quantità.⁴ Il considerando 2 cataloga le ragioni del fallimento del mercato spontaneo: mancanza di incentivi, incertezza sui diritti, costi transattivi, frammentazione dei dati in compartimenti informativi chiusi, assenza di norme per l’interoperabilità semantica e tecnica e abuso degli squilibri contrattuali.⁵ La risposta del legislatore europeo è un sistema di disponibilità regolata che articola diritti soggettivi, obblighi proporzionati ed equilibri contrattuali entro una cornice armonizzata, direttamente applicabile ai sensi dell’articolo 288 del Trattato sul funzionamento dell’Unione europea.⁶ L’articolo 1, paragrafo 1, elenca in sei lettere l’oggetto del regolamento:
a) messa a disposizione dei dati all’utente;
b) messa a disposizione dei dati da parte dei titolari ai destinatari;
c) messa a disposizione dei dati agli enti pubblici, alla Commissione, alla Banca centrale europea e agli organismi dell’Unione in caso di necessità eccezionale;
d) facilitazione del passaggio tra servizi di trattamento dei dati;
e) garanzie contro l’accesso illecito di terzi a dati non personali;
f) sviluppo di norme di interoperabilità.⁷
L’articolo 1, paragrafo 3, delimita la sfera di applicazione soggettiva, includendo, tra gli altri, i fabbricanti di prodotti connessi immessi sul mercato dell’Unione e i fornitori di servizi correlati, indipendentemente dal loro luogo di stabilimento.⁸ L’ambito di applicazione è orizzontale e tecnologicamente neutro.⁹ Il regolamento infatti non menziona l’intelligenza artificiale come categoria autonoma, ma regola l’ecosistema informativo che la alimenta.¹⁰
Il sistema definitorio: i concetti fondativi — articolo 2
L’articolo 2 enumera 43 definizioni. La loro padronanza è condizione necessaria per qualsiasi attività di conformità normativa.¹¹ Le più rilevanti sul piano sistematico sono le seguenti.
Prodotto connesso, numero 5
Bene che ottiene, genera o raccoglie dati relativi al suo utilizzo o ambiente, capace di comunicarli tramite servizio di comunicazione elettronica, connessione fisica o accesso su dispositivo, la cui funzione primaria non è l’archiviazione o la trasmissione per conto di terzi.¹²
Il considerando 14 include veicoli, attrezzature sanitarie, apparecchiature domestiche, macchine agricole e industriali.¹³
Servizio correlato, numero 6
Servizio digitale connesso al prodotto al momento dell’acquisto, della locazione o del noleggio in modo tale che la sua assenza impedirebbe al prodotto di svolgere una o più funzioni, oppure connesso successivamente per ampliarne, aggiornarne o adattarne le funzionalità.¹⁴
Il considerando 17 precisa che non sono servizi correlati né l’approvvigionamento di energia né la fornitura di connettività.¹⁵
Utente, numero 12
Persona fisica o giuridica proprietaria del prodotto connesso, titolare di diritti temporanei di utilizzo o destinataria di un servizio correlato.¹⁶
Titolare dei dati, numero 13
Soggetto che ha il diritto o l’obbligo, ai sensi del regolamento o del diritto applicabile, di utilizzare e mettere a disposizione dati, compresi quelli generati nel corso della fornitura di un servizio correlato.¹⁷
Dati prontamente disponibili, numero 17
Dati del prodotto e dati di un servizio correlato che il titolare dei dati ottiene o può ottenere legittimamente dal prodotto connesso o dal servizio correlato senza sforzo sproporzionato che vada al di là di una semplice operazione.¹⁸
Segreto commerciale, numero 18
Segreto commerciale quale definito all’articolo 2, punto 1, della Direttiva (UE) 2016/943.¹⁹
Passaggio, numero 34
Processo per cui il cliente di un servizio di trattamento dei dati transita verso un servizio dello stesso tipo offerto da un diverso fornitore o verso un’infrastruttura locale di tecnologie dell’informazione e della comunicazione, anche mediante estrazione, trasformazione e caricamento dei dati.²⁰
Tariffe di uscita dei dati, numero 35
Tariffe di trasferimento addebitate al cliente per l’estrazione dei suoi dati attraverso la rete dall’infrastruttura del fornitore di origine.²¹
Dati esportabili, numero 38
Dati di ingresso e uscita, inclusi i metadati, direttamente o indirettamente generati o cogenerati dall’utilizzo del servizio di trattamento dei dati da parte del cliente, con esclusione di risorse o dati protetti da diritti di proprietà intellettuale o che costituiscono segreti commerciali dei fornitori di servizi di trattamento dei dati o di terzi.²²
Contratto intelligente, numero 39
Programma informatico utilizzato per l’esecuzione automatica di un accordo o di parte di esso mediante una sequenza di registrazioni elettroniche di dati, garantendone l’integrità e l’accuratezza dell’ordine cronologico.²³
Interoperabilità, numero 40
Capacità di due o più spazi di dati o reti di comunicazione, sistemi, prodotti connessi, applicazioni, servizi di trattamento dei dati o componenti di scambiare e utilizzare dati per svolgere le rispettive funzioni.²⁴
Capo II — Condivisione dei dati da impresa a consumatore e da impresa a impresa: struttura e contenuto
L’obbligo di progettazione: articolo 3
L’articolo 3, paragrafo 1, stabilisce che i prodotti connessi sono progettati e fabbricati e i servizi correlati sono progettati e forniti in modo tale che i dati del prodotto e del servizio correlato, compresi i pertinenti metadati necessari a interpretarli e utilizzarli, siano, per impostazione predefinita, accessibili all’utente in modo facile, sicuro, gratuito, in formato completo, strutturato, di uso comune e leggibile da dispositivo automatico e, ove pertinente e tecnicamente possibile, in modo diretto.²⁵
L’obbligo non è meramente contrattuale: è un requisito di progettazione incorporato nel prodotto stesso.²⁶ L’articolo 50 posticipa l’applicazione di quest’obbligo ai prodotti connessi e ai servizi correlati immessi sul mercato dopo il 12 settembre 2026.²⁷
Il paragrafo 2 impone obblighi informativi precontrattuali precisi: il venditore, il locatore o il noleggiante deve comunicare il tipo, il formato e il volume stimato dei dati generabili; la capacità del prodotto connesso di generare dati in modo continuo e in tempo reale; la capacità di archiviare dati sul dispositivo o su un server remoto; le modalità con cui l’utente può accedere ai dati, reperirli o, se del caso, cancellarli.²⁸
Il paragrafo 3 replica analoghi obblighi per il fornitore del servizio correlato, con requisiti aggiuntivi concernenti, tra l’altro, la natura, il volume stimato e la frequenza di raccolta dei dati del servizio correlato, l’identità del titolare dei dati, le finalità di utilizzo previste e il diritto dell’utente di presentare reclamo.²⁹
Sul piano operativo: la progettazione del prodotto è il primo atto di conformità normativa. Non è sufficiente aggiornare i modelli contrattuali; occorre intervenire sull’architettura tecnica del prodotto e del servizio correlato prima dell’immissione sul mercato.³⁰
I diritti dell’utente e la posizione del titolare dei dati: articolo 4
L’articolo 4, paragrafo 1, disciplina il caso in cui l’utente non possa accedere direttamente ai dati dal prodotto connesso o dal servizio correlato: in tale ipotesi il titolare dei dati li mette a disposizione prontamente, con la stessa qualità di cui dispone, in modo facile e sicuro, gratuitamente, in formato completo, strutturato, di uso comune e leggibile da dispositivo automatico e, ove pertinente e tecnicamente possibile, in modo continuo e in tempo reale.³¹
Il paragrafo 4 impone al titolare dei dati il divieto di rendere indebitamente difficile l’esercizio dei diritti dell’utente, includendo espressamente il divieto di offrire scelte in modo non neutrale o di sovvertire o compromettere l’autonomia, il processo decisionale o le scelte dell’utente mediante la struttura, la progettazione, la funzione o le modalità operative di un’interfaccia utente o di una sua parte.³²
Il paragrafo 5 limita la raccolta di informazioni identificative a quanto strettamente necessario per verificare la qualità di utente, con divieto di conservare informazioni sull’accesso dell’utente ai dati richiesti oltre quanto necessario per la corretta esecuzione della richiesta di accesso e per la sicurezza e la manutenzione dell’infrastruttura di dati.³³
Il paragrafo 10 introduce un limite fondamentale simmetrico: l’utente non può utilizzare i dati ottenuti per sviluppare un prodotto connesso in concorrenza con quello da cui i dati provengono, né condividerli con terzi con tale intenzione, né utilizzare tali dati per ottenere informazioni sulla situazione economica, sulle risorse o sui metodi di produzione del fabbricante o, se applicabile, del titolare dei dati.³⁴
Questo limite è la contropartita sistematica del diritto di accesso: l’apertura è finalizzata a nuovi servizi e all’innovazione, non alla replica del prodotto originario.
I paragrafi 6, 7 e 8 disciplinano il regime dei segreti commerciali con una logica sequenziale a tre livelli. In via ordinaria, il titolare dei dati, o il detentore dei segreti commerciali qualora non sia il titolare dei dati, identifica i dati protetti come segreti commerciali, anche nei pertinenti metadati, e concorda con l’utente misure tecniche e organizzative proporzionate, tra cui clausole contrattuali tipo, accordi di riservatezza, protocolli di accesso rigorosi, norme tecniche e codici di condotta.³⁵
In assenza di accordo sulle misure necessarie, o in caso di mancata attuazione o violazione delle misure concordate, il titolare dei dati può bloccare o sospendere la condivisione dei dati identificati come segreti commerciali, notificando il provvedimento per iscritto all’utente e all’autorità competente.³⁶
Solo in circostanze eccezionali, e dimostrando sulla base di elementi oggettivi che la divulgazione determinerebbe con elevata probabilità un grave danno economico, cioè perdite economiche gravi e irreparabili, il titolare dei dati può rifiutare caso per caso la richiesta relativa a dati specifici.³⁷
Il rifiuto basato sulla protezione dei segreti commerciali non è un veto generale e automatico. È un rimedio eccezionale, motivato, documentato, soggetto a notifica all’autorità competente e contestabile dall’utente sia davanti all’autorità competente sia davanti al giudice.³⁸
Il considerando 15 traccia la linea di demarcazione fondamentale per le strategie di intelligenza artificiale: i dati grezzi, i dati fonte o primari generati automaticamente e i dati pretrattati per renderli comprensibili e utilizzabili prima di ulteriori operazioni di trattamento e analisi rientrano nell’ambito di applicazione del regolamento.³⁹
Ne sono invece escluse le informazioni dedotte o ricavate che sono il risultato di ulteriori investimenti nell’attribuzione di valori o informazioni derivanti dai dati, in particolare mediante algoritmi proprietari complessi, compresi quelli appartenenti a un programma informatico proprietario.⁴⁰
Questa distinzione — dato grezzo accessibile, inferenza proprietaria protetta — è il confine tecnico-giuridico più rilevante per chi costruisce applicazioni algoritmiche sui dati di prodotti connessi.⁴¹
Il diritto dell’utente di condividere con terzi: articolo 5
L’articolo 5, paragrafo 1, attribuisce all’utente, o a una parte che agisce per suo conto, il diritto di chiedere al titolare dei dati di mettere i dati prontamente disponibili, nonché i pertinenti metadati necessari a interpretarli e utilizzarli, a disposizione di terzi di propria scelta, senza indebito ritardo, con la stessa qualità di cui dispone il titolare dei dati, in modo facile, sicuro, gratuito per l’utente, in formato completo, strutturato, di uso comune e leggibile da dispositivo automatico e, ove pertinente e tecnicamente possibile, in modo continuo e in tempo reale.⁴²
Il paragrafo 2 esclude dall’obbligo i dati prontamente disponibili nel contesto del collaudo di nuovi prodotti connessi, sostanze o processi non ancora immessi sul mercato, salvo che il loro utilizzo da parte di terzi sia autorizzato contrattualmente.⁴³
Il paragrafo 3 introduce una limitazione strutturale di assoluto rilievo: nessuna impresa designata come controllore dell’accesso ai sensi dell’articolo 3 del Regolamento (UE) 2022/1925 sui mercati digitali è ammessa come terzo beneficiario ai sensi dell’articolo 5.⁴⁴
Il controllore dell’accesso non può sollecitare né fornire incentivi commerciali all’utente affinché metta i dati a disposizione di uno dei suoi servizi o chieda al titolare dei dati di farlo, né può ricevere dall’utente dati ottenuti in seguito a una richiesta formulata ai sensi dell’articolo 4, paragrafo 1.⁴⁵ I terzi che ricevono dati non possono a loro volta metterli a disposizione di un’impresa designata come controllore dell’accesso.⁴⁶
La ratio è esplicitata dal considerando 40: le imprese con notevole potere economico nell’economia digitale, capaci di acquisire e aggregare grandi quantità di dati, non necessitano di diritti di accesso supplementari e la loro inclusione sarebbe sproporzionata.⁴⁷
Il regime dei segreti commerciali nell’articolo 5 ricalca quello dell’articolo 4 con una precisazione aggiuntiva: la divulgazione al terzo è ammessa solo nella misura strettamente necessaria per conseguire la finalità concordata tra utente e terzo.⁴⁸
Il combinato disposto degli articoli 4 e 5 costruisce una catena controllata: l’utente, il titolare dei dati e il terzo. In nessun punto della catena il dato può essere usato per replicare il prodotto connesso di origine o per acquisire informazioni strategiche sul fabbricante o sul titolare dei dati.⁴⁹
Obblighi dei terzi che ricevono dati: articolo 6
L’articolo 6 impone al terzo che riceve i dati un perimetro di utilizzo definito e invalicabile. Il terzo tratta i dati soltanto per le finalità e alle condizioni concordate con l’utente e li cancella quando non sono più necessari per la finalità concordata, salvo diverso accordo con l’utente in relazione ai dati non personali.⁵⁰
Il terzo:
· non rende indebitamente difficile l’esercizio dei diritti o delle scelte dell’utente, anche offrendo scelte in modo non neutrale o compromettendo l’autonomia decisionale dell’utente mediante interfacce manipolative;
· non utilizza i dati per profilazione, salvo che ciò sia necessario per fornire il servizio richiesto dall’utente;
· non mette i dati a disposizione di altri terzi, salvo contratto con l’utente;
· non trasmette i dati a imprese designate come controllori dell’accesso;
· non utilizza i dati per sviluppare un prodotto in concorrenza con il prodotto connesso da cui provengono i dati;
· non utilizza i dati in modo tale da incidere negativamente sulla sicurezza del prodotto connesso o del servizio correlato;
· non disattende le misure concordate per la protezione dei segreti commerciali.⁵¹
Esenzioni per microimprese e piccole imprese: articolo 7
L’articolo 7, paragrafo 1, esonera dagli obblighi del Capo II i dati generati dall’uso di prodotti connessi fabbricati o progettati da microimprese o piccole imprese, o di servizi correlati forniti dalle medesime, ai sensi dell’allegato alla Raccomandazione 2003/361/CE, a condizione che tali imprese non abbiano imprese associate o collegate di dimensioni maggiori alle quali sia affidata in subappalto la fabbricazione o la progettazione di un prodotto connesso o la fornitura di un servizio correlato.⁵²
Identico regime si applica ai dati generati dall’uso di prodotti connessi fabbricati, o di servizi correlati forniti, da un’impresa qualificata come media impresa da meno di un anno e ai prodotti connessi per un anno dopo la data in cui sono stati immessi sul mercato da una media impresa.⁵³
L’esonero non riguarda la posizione di titolare dei dati in quanto tale, ma esclusivamente gli obblighi del Capo II relativi ai dati generati da prodotti connessi fabbricati o progettati, o da servizi correlati forniti, dalle imprese rientranti nelle condizioni indicate.⁵⁴
Capo III — Condizioni per la messa a disposizione dei dati nei rapporti tra imprese: articoli 8 e 9
Il Capo III si applica nei casi in cui, nei rapporti tra imprese, il titolare dei dati è tenuto, ai sensi dell’articolo 5 o del diritto dell’Unione o della legislazione nazionale applicabile adottata in conformità del diritto dell’Unione, a mettere i dati a disposizione di un destinatario dei dati.⁵⁵
L’articolo 50 limita l’applicazione del Capo III agli obblighi di messa a disposizione dei dati, previsti dal diritto dell’Unione o dalla legislazione nazionale adottata in conformità del diritto dell’Unione, che entrano in vigore dopo il 12 settembre 2025.⁵⁶
Condizioni eque, ragionevoli, non discriminatorie e trasparenti, cosiddette FRAND, nella messa a disposizione dei dati: articolo 8
L’articolo 8, paragrafo 1, prescrive che il titolare dei dati concordi con il destinatario dei dati le modalità della messa a disposizione e lo faccia a condizioni eque, ragionevoli, non discriminatorie e in modo trasparente.⁵⁷
Il paragrafo 3 impone un divieto di discriminazione tra categorie comparabili di destinatari dei dati, comprese le imprese associate o collegate del titolare, prevedendo che, su richiesta motivata del destinatario, il titolare fornisca senza indebito ritardo informazioni idonee a dimostrare l’assenza di discriminazione.⁵⁸
Il paragrafo 4 stabilisce che il titolare dei dati non mette i dati a disposizione di un destinatario, anche su base esclusiva, salvo che sia invitato a farlo dall’utente a norma del Capo II.⁵⁹
Il paragrafo 6 precisa che l’obbligo di messa a disposizione non impone la divulgazione dei segreti commerciali, salvo che tale divulgazione sia richiesta dal diritto dell’Unione o dalla legislazione nazionale applicabile adottata in conformità del diritto dell’Unione.⁶⁰
Il compenso per la messa a disposizione dei dati: articolo 9
L’articolo 9 disciplina il compenso. Nelle relazioni tra imprese, il compenso concordato tra titolare dei dati e destinatario dei dati per la messa a disposizione dei dati è non discriminatorio e ragionevole e può includere un margine.⁶¹
Nel determinarlo, le parti tengono conto, in particolare, dei costi sostenuti per mettere a disposizione i dati, compresi i costi necessari per la formattazione, la diffusione per via elettronica e l’archiviazione, nonché degli investimenti nella raccolta e nella produzione dei dati, ove applicabile.⁶²
Il compenso può inoltre dipendere dal volume, dal formato e dalla natura dei dati.⁶³
Quando il destinatario dei dati è una piccola o media impresa o un’organizzazione di ricerca senza fini di lucro, priva di imprese associate o collegate che non si qualificano come piccole o medie imprese, il compenso concordato non può superare i costi sostenuti per mettere a disposizione i dati.⁶⁴
La Commissione adotta orientamenti sul calcolo del compenso ragionevole, tenendo conto del parere del Comitato europeo per l’innovazione in materia di dati.⁶⁵
Sul piano sistematico: il compenso non è il prezzo del dato in sé. È il ristoro del costo di messa a disposizione, eventualmente maggiorato di un margine nei limiti consentiti dal regolamento. Non costituisce un diritto di proprietà sul dato né una remunerazione per la sua generazione.⁶⁶
Capo IV — Clausole contrattuali abusive tra imprese: articolo 13
Il Capo IV introduce un test autonomo di abusività per le clausole contrattuali concernenti l’accesso ai dati e il loro utilizzo, nonché la responsabilità o i mezzi di ricorso in caso di violazione e cessazione degli obblighi relativi ai dati, quando tali clausole siano state imposte unilateralmente da un’impresa a un’altra impresa.⁶⁷
Il test si colloca esclusivamente nel segmento dei rapporti tra imprese e non riguarda l’intero contenuto del contratto, ma soltanto le clausole funzionalmente collegate alla messa a disposizione dei dati.⁶⁸
La clausola è abusiva quando, per sua natura, il suo uso si discosta considerevolmente dalle buone prassi commerciali in materia di accesso ai dati e relativo utilizzo, in contrasto con la buona fede e la correttezza.⁶⁹
Il presupposto applicativo è l’imposizione unilaterale: si considera tale la clausola inserita da una parte contraente senza che l’altra parte sia stata in grado di influenzarne il contenuto, malgrado un tentativo di negoziarla.⁷⁰
Una clausola semplicemente proposta e accettata, o negoziata e successivamente concordata in una versione modificata, non ricade dunque nell’ambito della disciplina.⁷¹ L’onere di provare che la clausola non è stata imposta unilateralmente grava sulla parte che l’ha inserita.⁷²
Clausole sempre abusive
L’articolo 13, paragrafo 4, elenca tre categorie di clausole sempre abusive:
· l’esclusione o la limitazione della responsabilità per dolo o colpa grave;
· l’esclusione dei mezzi di ricorso in caso di inadempimento degli obblighi contrattuali o della responsabilità in caso di violazione di tali obblighi;
· il diritto esclusivo della parte che ha imposto unilateralmente la clausola di determinare la conformità dei dati forniti al contratto o di interpretare qualsiasi clausola del contratto.⁷³
Clausole presuntivamente abusive
Il paragrafo 5 elenca invece le clausole presuntivamente abusive, con presunzione superabile mediante prova contraria. Rientrano in tale categoria le clausole che:
· limitano in modo inappropriato i mezzi di ricorso in caso di inadempimento o la responsabilità in caso di violazione degli obblighi contrattuali;
· consentono alla parte che ha imposto la clausola di accedere ai dati dell’altra parte contraente e di utilizzarli in modo tale da nuocere in misura significativa ai suoi legittimi interessi, in particolare quando tali dati contengono dati commercialmente sensibili o segreti commerciali;
· impediscono alla parte debole di utilizzare i dati che essa ha fornito o generato durante il periodo contrattuale, o ne limitano l’utilizzo in modo tale da privarla del diritto di utilizzare, raccogliere, accedere o controllare tali dati o di sfruttarne il valore in modo proporzionato;
· impediscono alla parte debole di ottenere una copia dei dati forniti o generati durante il periodo contrattuale o entro un termine ragionevole dopo la cessazione del contratto;
· consentono alla parte forte di risolvere il contratto con un preavviso irragionevolmente breve, salvo gravi motivi;
· consentono modifiche sostanziali del prezzo o di altre condizioni essenziali relative alla natura, al formato, alla qualità o alla quantità dei dati da condividere, in assenza di un motivo valido e di un diritto di recesso della controparte.⁷⁴
Applicazione temporale
L’articolo 50 differisce l’applicazione del Capo IV ai contratti conclusi il 12 settembre 2025 o anteriormente a tale data: per questi contratti la disciplina si applica a decorrere dal 12 settembre 2027, ma soltanto se essi sono a tempo indeterminato oppure scadono almeno dieci anni dopo l’11 gennaio 2024.⁷⁵
Limiti del controllo di abusività
Il Capo IV non si applica alle clausole che definiscono l’oggetto principale del contratto né all’adeguatezza del prezzo rispetto ai dati forniti in cambio.⁷⁶
Non è quindi uno strumento di controllo giudiziale del prezzo del dato, ma un presidio contro l’abuso della posizione negoziale più forte nella regolazione contrattuale dell’accesso ai dati, del loro utilizzo, della responsabilità e dei rimedi.⁷⁷
Capo V — La necessità eccezionale: articoli 14-22
Struttura dell’istituto
Il Capo V disciplina l’ipotesi in cui un ente pubblico, la Commissione, la Banca centrale europea o un organismo dell’Unione possa ottenere dal titolare dei dati la messa a disposizione di dati esistenti, compresi i pertinenti metadati necessari per interpretarli e utilizzarli, al di fuori di un rapporto contrattuale volontario.⁷⁸
L’articolo 14 subordina l’obbligo alla dimostrazione di una necessità eccezionale ai sensi dell’articolo 15, limitata nel tempo e nella portata, e alla necessità di utilizzare tali dati per lo svolgimento di funzioni statutarie nell’interesse pubblico.⁷⁹
Le due fattispecie di necessità eccezionale: articolo 15
L’articolo 15, paragrafo 1, distingue due ipotesi tassative di necessità eccezionale.⁸⁰
La prima è l’emergenza pubblica: i dati richiesti devono essere necessari per rispondere a un’emergenza pubblica e l’ente pubblico, la Commissione, la Banca centrale europea o l’organismo dell’Unione non deve poterli ottenere con mezzi alternativi in modo tempestivo ed efficace a condizioni equivalenti.⁸¹
Per emergenza pubblica si intende una situazione eccezionale, limitata nel tempo, quale un’emergenza di sanità pubblica, un’emergenza derivante da calamità naturali o una grave catastrofe di origine umana, compresi gravi incidenti di cibersicurezza, che incide negativamente sulla popolazione dell’Unione, di uno Stato membro o di parte di esso, con rischio di ripercussioni gravi e durature sulle condizioni di vita, sulla stabilità economica, sulla stabilità finanziaria o sul degrado sostanziale e immediato delle attività economiche nell’Unione o negli Stati membri interessati, e che sia determinata o dichiarata ufficialmente secondo le procedure pertinenti del diritto dell’Unione o nazionale.⁸²
In questa ipotesi i dati personali possono essere richiesti quando non sia possibile rispondere alla necessità eccezionale mediante dati non personali.⁸³
La seconda è la necessità eccezionale non emergenziale, limitata ai soli dati non personali. Essa ricorre quando, in circostanze diverse dall’emergenza pubblica, l’ente pubblico, la Commissione, la Banca centrale europea o l’organismo dell’Unione agisce sulla base del diritto dell’Unione o nazionale, individua dati specifici la cui mancanza gli impedisce di svolgere un compito specifico nell’interesse pubblico espressamente previsto dalla legge, quali la redazione di statistiche ufficiali, la mitigazione o la ripresa dopo un’emergenza pubblica, ed esaurisce tutti gli altri mezzi disponibili per ottenere tali dati, compresi l’acquisto sul mercato ai prezzi di mercato, il ricorso a obblighi vigenti di messa a disposizione dei dati o l’adozione di nuove misure legislative idonee a garantirne la tempestiva disponibilità.⁸⁴
Tale seconda fattispecie non si applica alle microimprese e alle piccole imprese.⁸⁵
Il procedimento di richiesta: articoli 17 e 18
L’articolo 17, paragrafo 1, elenca i contenuti obbligatori della richiesta. Essa deve specificare i dati richiesti, compresi i pertinenti metadati necessari per interpretarli e utilizzarli; dimostrare la necessità eccezionale; spiegare la finalità della richiesta, l’uso previsto dei dati e, se del caso, il modo in cui l’utilizzo dei dati personali è necessario per rispondere alla necessità eccezionale; indicare il termine entro il quale i dati devono essere messi a disposizione e quello entro il quale il titolare dei dati può chiedere la modifica o rifiutare la richiesta; giustificare la scelta del titolare dei dati; specificare eventuali condivisioni con altri enti pubblici, con la Commissione, con la Banca centrale europea, con organismi dell’Unione o con terzi incaricati di funzioni tecniche; individuare, quando siano richiesti dati personali pseudonimizzati, le misure tecniche e organizzative di protezione; informare il titolare dei dati delle sanzioni applicabili in caso di mancato soddisfacimento della richiesta.⁸⁶
Il paragrafo 2 aggiunge un principio di non duplicazione: la stessa richiesta non può essere presentata più volte da più enti pubblici, dalla Commissione, dalla Banca centrale europea o da organismi dell’Unione allo stesso titolare dei dati per la medesima finalità, salvo che sia necessario per rispondere a un’emergenza pubblica e il titolare dei dati non abbia notificato la cancellazione dei dati trasmessi in precedenza.⁸⁷
L’articolo 18, paragrafo 2, stabilisce che il titolare dei dati può rifiutare o chiedere la modifica della richiesta senza indebito ritardo e, in ogni caso, entro cinque giorni lavorativi dal ricevimento di una richiesta relativa a dati necessari per rispondere a un’emergenza pubblica, oppure entro trenta giorni lavorativi negli altri casi di necessità eccezionale.⁸⁸
I motivi sono tassativi: assenza di controllo sui dati richiesti; precedente richiesta analoga presentata per la stessa finalità da un altro ente pubblico, dalla Commissione, dalla Banca centrale europea o da un organismo dell’Unione, senza che al titolare dei dati sia stata notificata la cancellazione dei dati; inosservanza delle condizioni previste dall’articolo 17, paragrafi 1 e 2.⁸⁹
Il regime del compenso: articolo 20
In caso di emergenza pubblica, i titolari dei dati diversi da microimprese e piccole imprese mettono i dati a disposizione gratuitamente.⁹⁰
Le microimprese e le piccole imprese mantengono invece il diritto a un compenso anche in tale ipotesi, secondo i criteri previsti per il compenso equo.⁹¹
In caso di necessità eccezionale non emergenziale, il titolare dei dati ha diritto a un compenso equo che non superi i costi tecnici e organizzativi sostenuti per soddisfare la richiesta, incluse, ove necessario, l’anonimizzazione, la pseudonimizzazione, l’aggregazione e l’adattamento tecnico, maggiorati di un margine ragionevole.⁹²
Su richiesta dell’ente pubblico, della Commissione, della Banca centrale europea o dell’organismo dell’Unione, il titolare dei dati deve fornire informazioni sulla base di calcolo dei costi e del margine ragionevole.⁹³
Nessun compenso è dovuto quando la richiesta è presentata ai sensi dell’articolo 15, paragrafo 1, lettera b), per la produzione di statistiche ufficiali e il diritto nazionale non consente l’acquisto dei dati.⁹⁴
Capo VI — Il passaggio tra servizi di trattamento dei dati: articoli 23-31
Ratio e perimetro
Il considerando 78 identifica la capacità di passaggio tra servizi di trattamento dei dati come condizione essenziale per un mercato più competitivo, caratterizzato da minori barriere all’ingresso di nuovi fornitori, maggiore continuità operativa per i clienti e riduzione dei fenomeni di dipendenza tecnologica.⁹⁵
Il considerando 79 motiva l’intervento normativo con la limitata diffusione dei quadri di autoregolamentazione elaborati in risposta al Regolamento (UE) 2018/1807 e con la persistente indisponibilità di interfacce e norme aperte idonee a rendere effettivo il passaggio.⁹⁶
Il Capo VI si applica ai fornitori di servizi di trattamento dei dati, indipendentemente dal luogo di stabilimento, che forniscono tali servizi a clienti nell’Unione.⁹⁷
Gli obblighi principali: articoli 23 e 25
L’articolo 23 impone ai fornitori di servizi di trattamento dei dati di adottare le misure previste dagli articoli 25, 26, 27, 29 e 30 per consentire ai clienti di passare a un servizio dello stesso tipo offerto da un diverso fornitore, a un’infrastruttura locale di tecnologie dell’informazione e della comunicazione o, se del caso, di utilizzare contemporaneamente più fornitori.⁹⁸
In particolare, i fornitori non possono imporre e devono eliminare gli ostacoli precommerciali, commerciali, tecnici, contrattuali e organizzativi che impediscono al cliente di:
· risolvere il contratto al termine del periodo massimo di preavviso e dopo il completamento positivo del processo di passaggio;
· concludere nuovi contratti con altri fornitori;
· trasferire dati esportabili e risorse digitali verso un diverso fornitore o verso un’infrastruttura locale, anche dopo aver beneficiato di un’offerta gratuita;
· conseguire l’equivalenza funzionale nell’utilizzo del nuovo servizio;
· disaggregare, ove tecnicamente fattibile, i servizi di trattamento dei dati da altri servizi forniti dal medesimo fornitore.⁹⁹
L’articolo 25, paragrafo 2, definisce il contenuto minimo obbligatorio del contratto relativo al passaggio. Il contratto deve contenere una clausola che consenta al cliente, su richiesta, di passare a un servizio di trattamento dei dati offerto da un diverso fornitore o a un’infrastruttura locale di tecnologie dell’informazione e della comunicazione, oppure di cancellare i dati esportabili e le risorse digitali, senza indebito ritardo e comunque non oltre il periodo transitorio massimo obbligatorio di trenta giorni di calendario dall’avvio del processo di passaggio.¹⁰⁰
Durante tale periodo il fornitore di origine deve garantire un livello elevato di sicurezza per tutto il processo, in particolare per la sicurezza dei dati durante il trasferimento, e deve assicurare la continuità delle funzioni o dei servizi pertinenti.¹⁰¹
Il contratto deve inoltre indicare il termine massimo di preavviso per l’avvio del processo di passaggio, che non può superare due mesi; specificare in modo dettagliato le categorie di dati e risorse digitali trasferibili; prevedere un periodo minimo di trenta giorni per il recupero dei dati dopo la scadenza del periodo transitorio; disporre la cancellazione completa dei dati esportabili e delle risorse digitali dopo la scadenza del periodo di recupero; indicare le tariffe di passaggio eventualmente applicabili.¹⁰²
Il cliente ha inoltre il diritto di prorogare una volta il periodo transitorio, quando il processo di passaggio non possa essere completato entro trenta giorni, per un periodo ritenuto più adeguato ai propri fini.¹⁰³
L’abolizione graduale delle tariffe di passaggio: articolo 29
A decorrere dal 12 gennaio 2027, i fornitori di servizi di trattamento dei dati non possono imporre al cliente tariffe di passaggio per il processo di migrazione verso altri fornitori.¹⁰⁴
Nel periodo intermedio, dall’11 gennaio 2024 al 12 gennaio 2027, possono imporre soltanto tariffe di passaggio ridotte, non superiori ai costi direttamente connessi al pertinente processo di passaggio sostenuti dal fornitore.¹⁰⁵
Prima della conclusione del contratto, il fornitore deve inoltre comunicare al potenziale cliente informazioni chiare sulle spese standard di servizio, sulle sanzioni eventualmente applicabili in caso di risoluzione anticipata e sulle tariffe di passaggio ridotte eventualmente dovute nel periodo transitorio.¹⁰⁶
Alla Commissione è conferito il potere di adottare atti delegati per istituire un meccanismo di controllo delle tariffe di passaggio applicate sul mercato, al fine di garantire il rispetto dell’abolizione e della riduzione progressiva previste dal regolamento.¹⁰⁷
Equivalenza funzionale e dati esportabili: articolo 30
L’equivalenza funzionale consiste nel ripristino, sulla base dei dati esportabili e delle risorse digitali del cliente, di un livello minimo di funzionalità nell’ambiente del nuovo servizio di trattamento dei dati dello stesso tipo, quando il servizio di destinazione fornisce risultati sostanzialmente comparabili in risposta al medesimo input per le caratteristiche condivise previste dal contratto.¹⁰⁸
L’obbligo di adottare tutte le misure ragionevoli per far conseguire al cliente l’equivalenza funzionale grava sui fornitori di servizi di trattamento dei dati concernenti risorse informatiche scalabili ed elastiche limitate a elementi infrastrutturali, quali server, reti e risorse virtuali necessarie al funzionamento dell’infrastruttura, senza accesso ad applicazioni, servizi e programmi informatici operativi memorizzati, trattati o installati su tali elementi.¹⁰⁹
Per i fornitori di servizi di trattamento dei dati diversi da quelli infrastrutturali, l’obbligo assume una forma differente: essi devono rendere disponibili, gratuitamente e in egual misura per tutti i clienti e per i fornitori di destinazione interessati, interfacce aperte idonee ad agevolare il processo di passaggio.¹¹⁰
Tali interfacce devono includere informazioni sufficienti sul servizio interessato per consentire lo sviluppo di programmi informatici in grado di comunicare con i servizi ai fini della portabilità e dell’interoperabilità dei dati.¹¹¹
I fornitori non sono tuttavia tenuti a sviluppare nuove tecnologie o nuovi servizi, né a comunicare o trasferire risorse digitali protette da diritti di proprietà intellettuale o qualificabili come segreti commerciali del fornitore o di terzi.¹¹²
Capo VII — Accesso governativo e trasferimento internazionali di dati non personali: articolo 32
L’articolo 32 affronta il conflitto tra richieste di accesso o trasferimento di dati non personali detenuti nell’Unione, provenienti da autorità di paesi terzi, e diritto dell’Unione o diritto nazionale dello Stato membro interessato.¹¹³
Il paragrafo 1 obbliga i fornitori di servizi di trattamento dei dati ad adottare tutte le misure tecniche, organizzative e giuridiche appropriate, compresi strumenti contrattuali, al fine di impedire l’accesso governativo internazionale e di paesi terzi ai dati non personali detenuti nell’Unione e il loro trasferimento quando tale accesso o trasferimento creerebbe un conflitto con il diritto dell’Unione o con il diritto nazionale dello Stato membro interessato.¹¹⁴
Tali misure possono comprendere, secondo il considerando 102, la cifratura dei dati, audit frequenti, verifiche certificate dell’osservanza dei pertinenti sistemi di certificazione della sicurezza e modifiche delle politiche aziendali.¹¹⁵
Il paragrafo 2 ammette il riconoscimento o l’esecuzione di decisioni o sentenze di organi giurisdizionali di paesi terzi, nonché di decisioni di autorità amministrative di paesi terzi, che impongano il trasferimento o l’accesso a dati non personali detenuti nell’Unione, soltanto se fondate su un accordo internazionale in vigore tra il paese terzo richiedente e l’Unione, come un trattato di mutua assistenza giudiziaria, oppure su un accordo analogo tra il paese terzo richiedente e uno Stato membro.¹¹⁶
In assenza di un accordo internazionale, il paragrafo 3 consente il trasferimento o l’accesso soltanto a condizioni cumulative:
· il sistema del paese terzo deve richiedere che la decisione o sentenza indichi i motivi e la proporzionalità della misura e abbia carattere sufficientemente specifico;
· l’obiezione motivata del destinatario deve essere sottoposta all’esame di un organo giurisdizionale competente del paese terzo;
· l’organo giurisdizionale competente deve avere il potere, in virtù del diritto del paese terzo, di tenere debitamente conto dei pertinenti interessi giuridici del fornitore dei dati tutelati dal diritto dell’Unione o dal diritto nazionale dello Stato membro interessato.¹¹⁷
Il destinatario può chiedere il parere dell’organismo o dell’autorità nazionale competente per la cooperazione giudiziaria internazionale, in particolare quando la decisione possa riguardare segreti commerciali, dati commercialmente sensibili, contenuti protetti da diritti di proprietà intellettuale o possa comportare rischi di reidentificazione.¹¹⁸
Il paragrafo 5 impone infine al fornitore di servizi di trattamento dei dati di informare il cliente della richiesta prima di darvi seguito, salvo che la richiesta sia finalizzata ad attività di contrasto e fintantoché ciò sia necessario per preservare l’efficacia di tali attività.¹¹⁹
Capo VIII — Interoperabilità: articoli 33-36
L’articolo 33, paragrafo 1, fissa quattro requisiti essenziali di interoperabilità per i partecipanti agli spazi di dati che offrono dati o servizi di dati ad altri partecipanti.
In primo luogo, il contenuto degli insiemi di dati, le restrizioni all’uso, le licenze, la metodologia di raccolta dei dati, la qualità e l’incertezza dei dati devono essere descritti, se del caso in formato leggibile da dispositivo automatico, in modo sufficiente a consentire al destinatario di trovare i dati, accedervi e utilizzarli.¹²⁰
In secondo luogo, le strutture e i formati dei dati, i vocabolari, gli schemi di classificazione, le tassonomie e gli elenchi dei codici, se disponibili, devono essere descritti in modo accessibile al pubblico e coerente.¹²¹
In terzo luogo, i mezzi tecnici per accedere ai dati, quali le interfacce di programmazione delle applicazioni, e le relative condizioni d’uso e di qualità del servizio devono essere descritti in modo sufficiente a consentire l’accesso automatico ai dati e la loro trasmissione automatica tra le parti, anche in modo continuo, in scaricamento in blocco o in tempo reale, in un formato leggibile da dispositivo automatico, ove tecnicamente fattibile e non di ostacolo al buon funzionamento del prodotto connesso.¹²²
In quarto luogo, se del caso, devono essere forniti i mezzi per consentire l’interoperabilità degli strumenti concepiti per automatizzare l’esecuzione degli accordi di condivisione dei dati, inclusi i contratti intelligenti.¹²³
Contratti intelligenti: articolo 36
L’articolo 36 stabilisce i requisiti essenziali relativi ai contratti intelligenti utilizzati per l’esecuzione degli accordi di condivisione dei dati.
Il venditore di applicazioni che utilizzano contratti intelligenti, o, in sua assenza, la persona la cui attività commerciale, imprenditoriale o professionale comporti l’implementazione di contratti intelligenti per altri nel contesto dell’esecuzione di un accordo di messa a disposizione dei dati, deve assicurare che tali contratti rispettino requisiti di robustezza e controllo dell’accesso, così da prevenire errori funzionali e resistere alla manipolazione di terzi.¹²⁴
Deve inoltre garantire meccanismi di cessazione e interruzione sicure, inclusa la presenza di funzioni interne idonee a reimpostare il contratto intelligente o a trasmettergli l’istruzione di fermare o interrompere il proprio funzionamento, in particolare per evitare esecuzioni accidentali future.¹²⁵
Il contratto intelligente deve altresì consentire l’archiviazione dei dati relativi alle transazioni, nonché della logica e del codice del contratto, al fine di assicurare la tracciabilità delle operazioni effettuate sui dati in passato.¹²⁶
A tali requisiti si aggiungono il controllo dell’accesso sul piano della governance e del contratto intelligente e la coerenza con le clausole dell’accordo di condivisione dei dati che il contratto intelligente esegue.¹²⁷
Il venditore di contratti intelligenti, o il soggetto che li implementa professionalmente per altri, deve infine effettuare una valutazione della conformità e, se i requisiti essenziali risultano soddisfatti, rilasciare una dichiarazione di conformità dell’Unione europea.¹²⁸
Capo IX — Governance, attuazione, esecuzione e sanzioni: articoli 37-41
Autorità competenti e coordinatori dei dati
L’articolo 37, paragrafo 1, impone a ciascuno Stato membro di designare una o più autorità competenti incaricate dell’applicazione e dell’esecuzione del regolamento.¹²⁹
Qualora lo Stato membro designi più autorità competenti, deve individuare tra esse un coordinatore dei dati, destinato a facilitare la cooperazione tra le autorità e ad assistere i soggetti rientranti nell’ambito di applicazione del regolamento su tutte le questioni relative alla sua applicazione ed esecuzione.¹³⁰
Il coordinatore dei dati funge da punto di contatto unico per tutte le questioni relative all’applicazione del regolamento; garantisce che le richieste di messa a disposizione dei dati presentate da enti pubblici in caso di necessità eccezionale ai sensi del Capo V siano pubblicamente disponibili in linea; promuove accordi volontari di condivisione dei dati tra enti pubblici e titolari dei dati; informa annualmente la Commissione dei rifiuti notificati ai sensi dell’articolo 4, paragrafi 2 e 8, e dell’articolo 5, paragrafo 11.¹³¹
Le autorità di controllo incaricate di sorvegliare l’applicazione del Regolamento (UE) 2016/679 sono competenti anche per l’applicazione del Regolamento (UE) 2023/2854 nella misura in cui esso riguarda la protezione dei dati personali.¹³²
L’autorità competente per l’applicazione dei Capi VI e VII deve inoltre possedere esperienza nel settore dei dati e dei servizi di comunicazione elettronica.¹³³
Il sistema sanzionatorio: articolo 40
L’articolo 40, paragrafo 1, impone agli Stati membri di stabilire le norme relative alle sanzioni applicabili in caso di violazione del regolamento e di adottare tutte le misure necessarie per assicurarne l’applicazione. Le sanzioni devono essere effettive, proporzionate e dissuasive.¹³⁴
Gli Stati membri devono notificare tali norme e misure alla Commissione entro il 12 settembre 2025 e comunicare immediatamente ogni successiva modifica; la Commissione tiene e aggiorna regolarmente un registro pubblico facilmente accessibile di tali misure.¹³⁵
Nell’irrogazione delle sanzioni gli Stati membri tengono conto delle raccomandazioni del Comitato europeo per l’innovazione in materia di dati e di criteri non esaustivi:
· natura, gravità, entità e durata della violazione;
· eventuali azioni intraprese dall’autore per attenuare il danno o porvi rimedio;
· precedenti violazioni;
· vantaggi finanziari ottenuti o perdite evitate in ragione della violazione, se determinabili in modo attendibile;
· ulteriori fattori aggravanti o attenuanti;
· fatturato annuo nell’Unione nell’esercizio precedente.¹³⁶
Per l’inosservanza degli obblighi di cui ai Capi II, III e V, le autorità di controllo responsabili dell’applicazione del Regolamento (UE) 2016/679 possono, nei limiti delle proprie competenze, irrogare sanzioni amministrative pecuniarie conformemente all’articolo 83 del medesimo regolamento, fino all’importo massimo ivi previsto.¹³⁷
Per l’inosservanza degli obblighi di cui al Capo V, il Garante europeo della protezione dei dati può, nei limiti delle proprie competenze, irrogare sanzioni amministrative pecuniarie conformemente all’articolo 66 del Regolamento (UE) 2018/1725.¹³⁸
Le clausole contrattuali tipo: articolo 41
La Commissione, prima del 12 settembre 2025, elabora e raccomanda clausole contrattuali tipo non vincolanti relative all’accesso ai dati e al loro utilizzo, comprese clausole sul compenso ragionevole e sulla protezione dei segreti commerciali, nonché clausole contrattuali standard non vincolanti per i contratti di servizi di elaborazione da remoto, al fine di assistere le parti nella redazione e nella negoziazione di contratti equi, ragionevoli e non discriminatori dal punto di vista dei diritti e degli obblighi contrattuali.¹³⁹
Capo X — Eliminazione del diritto sui generis sulle banche dati: articolo 43
L’articolo 43 stabilisce che il diritto sui generis di cui all’articolo 7 della Direttiva 96/9/CE non si applica quando i dati sono ottenuti o generati da un prodotto connesso o da un servizio correlato rientrante nell’ambito di applicazione del regolamento, in particolare in relazione agli articoli 4 e 5.¹⁴⁰
Questa norma rimuove un possibile ostacolo sistematico che avrebbe potuto vanificare l’intero impianto del regolamento: senza l’articolo 43, il titolare dei dati avrebbe potuto rivendicare il diritto sui generis sulla banca dati contenente i dati del prodotto connesso o del servizio correlato per bloccare l’accesso che il regolamento impone.¹⁴¹
Il considerando 112 precisa che la norma non pregiudica l’eventuale applicazione del diritto sui generis alle banche dati contenenti dati estranei all’ambito di applicazione del regolamento, purché sussistano i requisiti di tutela previsti dall’articolo 7, paragrafo 1, della Direttiva 96/9/CE.¹⁴²
Mappa temporale di applicazione
11 gennaio 2024 — Entrata in vigore del regolamento. Inizio del periodo transitorio nel quale i fornitori di servizi di trattamento dei dati possono imporre tariffe di passaggio ridotte.¹⁴³
12 settembre 2025 — Applicazione generale del regolamento. Entro questa data gli Stati membri notificano alla Commissione le norme nazionali sulle sanzioni. Entro la medesima data la Commissione elabora e raccomanda clausole contrattuali tipo non vincolanti per l’accesso ai dati e il loro utilizzo e clausole contrattuali standard non vincolanti per i contratti di servizi di elaborazione da remoto.¹⁴⁴
Il Capo III si applica solo agli obblighi di messa a disposizione dei dati previsti dal diritto dell’Unione o dalla legislazione nazionale conforme al diritto dell’Unione che entrano in vigore dopo questa data.¹⁴⁵
Il Capo IV si applica ai contratti conclusi dopo questa data.¹⁴⁶
12 settembre 2026 — Applicazione dell’obbligo di progettazione di cui all’articolo 3, paragrafo 1, ai prodotti connessi e ai servizi correlati immessi sul mercato dopo tale data.¹⁴⁷
12 gennaio 2027 — Abolizione completa delle tariffe di passaggio tra servizi di trattamento dei dati. Da questa data i fornitori di servizi di trattamento dei dati non possono imporre al cliente tariffe di passaggio per il processo di passaggio ad altri fornitori.¹⁴⁸
12 settembre 2027 — Applicazione del Capo IV ai contratti conclusi il 12 settembre 2025 o anteriormente a tale data, purché siano a tempo indeterminato oppure scadano almeno dieci anni dopo l’11 gennaio 2024.¹⁴⁹
12 settembre 2028 — Valutazione del regolamento da parte della Commissione e presentazione al Parlamento europeo, al Consiglio e al Comitato economico e sociale europeo di una relazione sulle principali conclusioni tratte.¹⁵⁰
Sintesi sistematica
Il Regolamento (UE) 2023/2854 non è una norma sull’intelligenza artificiale, né una norma sulla proprietà dei dati. È, nella sua essenza tecnica, una norma sulla disponibilità regolata dell’informazione generata dall’uso dei prodotti connessi e dei servizi correlati.¹⁵¹
Esso costruisce un sistema strutturato su sette pilastri normativi.
Il primo pilastro è il diritto di accesso dell’utente. L’utente acquisisce un diritto di accesso ai dati generati dall’uso del prodotto connesso o del servizio correlato, con le relative garanzie di formato, tempestività, gratuità, sicurezza e leggibilità da dispositivo automatico.¹⁵²
Il secondo pilastro è la condivisione con terzi. L’utente può condividere tali dati con terzi di propria scelta, escluse le imprese designate come controllori dell’accesso ai sensi del Regolamento (UE) 2022/1925, entro i limiti di utilizzo imposti ai terzi destinatari.¹⁵³
Il terzo pilastro è la protezione delle inferenze e dei segreti commerciali. Il titolare dei dati conserva la protezione per le informazioni dedotte o ricavate mediante ulteriori investimenti, in particolare mediante algoritmi proprietari complessi, e per le componenti qualificabili come segreti commerciali.¹⁵⁴
Il quarto pilastro è la regolazione dei rapporti tra imprese. I rapporti tra imprese sono disciplinati da condizioni eque, ragionevoli, non discriminatorie e trasparenti, con compenso proporzionato, nonché da un test autonomo di abusività per le clausole unilateralmente imposte.¹⁵⁵
Il quinto pilastro è l’accesso pubblico per necessità eccezionale. Gli enti pubblici, la Commissione, la Banca centrale europea e gli organismi dell’Unione accedono ai dati solo in caso di necessità eccezionale dimostrata, entro un procedimento formalizzato e garantito.¹⁵⁶
Il sesto pilastro è la portabilità tra servizi di trattamento dei dati. Il passaggio tra servizi di trattamento dei dati è reso effettivo attraverso obblighi tecnici, contrattuali e organizzativi, eliminazione graduale delle tariffe di passaggio e requisiti di interoperabilità.¹⁵⁷
Il settimo pilastro è la neutralizzazione del diritto sui generis sulle banche dati. Il diritto sui generis sulle banche dati non può essere invocato per ostacolare l’esercizio dei diritti di accesso e condivisione previsti dal regolamento.¹⁵⁸
La valutazione sistematica del regolamento impone di abbandonare la lettura binaria apertura/chiusura. Il dato non è libero, né è proprietà esclusiva del suo generatore tecnico. È una risorsa relazionale il cui accesso è governato da diritti soggettivi dell’utente, da obblighi proporzionati del titolare dei dati, da limiti espliciti all’utilizzo competitivo e da un sistema di attuazione ed esecuzione affidato ad autorità nazionali coordinate, ove necessario, dal coordinatore dei dati e assistite dal Comitato europeo per l’innovazione in materia di dati.¹⁵⁹
La governance della risorsa informativa — mappare, classificare, progettare l’accesso, proteggere le inferenze, documentare i flussi — non è un mero adempimento. È la condizione strutturale per operare nell’economia europea dei dati dopo il 12 settembre 2025.¹⁶⁰
Note
Riferimento normativo
Regolamento (UE) 2023/2854 del Parlamento europeo e del Consiglio, del 13 dicembre 2023, riguardante norme armonizzate sull’accesso equo ai dati e sul loro utilizzo e che modifica il Regolamento (UE) 2017/2394 e la Direttiva (UE) 2020/1828, in Gazzetta ufficiale dell’Unione europea, Serie L, 22 dicembre 2023.
Note
¹ Regolamento (UE) 2023/2854 del Parlamento europeo e del Consiglio, del 13 dicembre 2023, riguardante norme armonizzate sull’accesso equo ai dati e sul loro utilizzo e che modifica il Regolamento (UE) 2017/2394 e la Direttiva (UE) 2020/1828, in Gazzetta ufficiale dell’Unione europea, Serie L, 22 dicembre 2023. Ai sensi dell’articolo 50, paragrafo 2, il regolamento si applica, salvo specifiche disposizioni transitorie, a decorrere dal 12 settembre 2025.
² Cfr. articolo 1, paragrafo 1, del Regolamento (UE) 2023/2854. Il considerando 5 sintetizza la struttura funzionale del regolamento, richiamando l’accesso degli utenti ai dati generati dall’uso di prodotti connessi o servizi correlati, la condivisione con terzi scelti dagli utenti, la messa a disposizione a condizioni eque, ragionevoli, non discriminatorie e trasparenti, l’accesso degli enti pubblici in caso di necessità eccezionale, il passaggio tra servizi di trattamento dei dati e l’interoperabilità dei dati e dei meccanismi di condivisione.
³ Il carattere direttamente applicabile discende dalla natura dell’atto regolamentare dell’Unione europea. Cfr. articolo 288 del Trattato sul funzionamento dell’Unione europea.
⁴ Considerando 1 del Regolamento (UE) 2023/2854, che collega la proliferazione dei prodotti connessi a internet all’aumento del volume e del valore potenziale dei dati e precisa che gli stessi dati possono essere utilizzati e riutilizzati per una pluralità di scopi senza perdita di qualità o quantità.
⁵ Considerando 2 del Regolamento (UE) 2023/2854, che individua, tra gli ostacoli alla condivisione dei dati, la mancanza di incentivi, l’incertezza sui diritti e sugli obblighi, i costi contrattuali e tecnici, la frammentazione in silos, la cattiva gestione dei metadati, l’assenza di norme di interoperabilità e l’abuso degli squilibri contrattuali.
⁶ L’articolo 288 del Trattato sul funzionamento dell’Unione europea stabilisce che il regolamento ha portata generale, è obbligatorio in tutti i suoi elementi ed è direttamente applicabile in ciascuno degli Stati membri. La qualificazione del Data Act come sistema di “disponibilità regolata” costituisce una sintesi ricostruttiva dell’impianto normativo.
⁷ Articolo 1, paragrafo 1, del Regolamento (UE) 2023/2854. La disposizione elenca espressamente i sei ambiti regolatori: messa a disposizione dei dati all’utente, messa a disposizione ai destinatari, accesso pubblico in caso di necessità eccezionale, passaggio tra servizi di trattamento dei dati, garanzie contro l’accesso illecito di terzi a dati non personali e interoperabilità.
⁸ Articolo 1, paragrafo 3, lettera a), del Regolamento (UE) 2023/2854. La norma si applica ai fabbricanti di prodotti connessi immessi sul mercato dell’Unione e ai fornitori di servizi correlati, indipendentemente dal luogo di stabilimento.
⁹ Il carattere orizzontale emerge dal considerando 6, secondo cui il regolamento prevede norme orizzontali cui possono far seguito norme dell’Unione o nazionali rivolte a situazioni specifiche dei settori pertinenti.
¹⁰ Il riferimento all’intelligenza artificiale ha natura interpretativa: il regolamento non disciplina l’intelligenza artificiale come categoria autonoma, ma incide sui presupposti informativi e sui flussi di dati utilizzabili anche da sistemi algoritmici.
¹¹ Articolo 2 del Regolamento (UE) 2023/2854. La disposizione contiene 43 definizioni, dal “prodotto connesso” alla “norma armonizzata”.
¹² Articolo 2, punto 5, del Regolamento (UE) 2023/2854.
¹³ Considerando 14 del Regolamento (UE) 2023/2854, che richiama, tra gli esempi di prodotti connessi, veicoli, attrezzature sanitarie, apparecchiature domestiche, beni di consumo, dispositivi medici e sanitari, macchine agricole e industriali.
¹⁴ Articolo 2, punto 6, del Regolamento (UE) 2023/2854.
¹⁵ Considerando 17 del Regolamento (UE) 2023/2854, secondo cui non si considerano servizi correlati né l’approvvigionamento di energia né la fornitura di connettività.
¹⁶ Articolo 2, punto 12, del Regolamento (UE) 2023/2854. Il considerando 18 chiarisce inoltre che l’utente può essere una persona fisica o giuridica, compresi impresa, consumatore o ente pubblico.
¹⁷ Articolo 2, punto 13, del Regolamento (UE) 2023/2854.
¹⁸ Articolo 2, punto 17, del Regolamento (UE) 2023/2854.
¹⁹ Articolo 2, punto 18, del Regolamento (UE) 2023/2854; Direttiva (UE) 2016/943, articolo 2, punto 1.
²⁰ Articolo 2, punto 34, del Regolamento (UE) 2023/2854. La formula “tecnologie dell’informazione e della comunicazione” scioglie l’acronimo “TIC”.
²¹ Articolo 2, punto 35, del Regolamento (UE) 2023/2854.
²² Articolo 2, punto 38, del Regolamento (UE) 2023/2854.
²³ Articolo 2, punto 39, del Regolamento (UE) 2023/2854.
²⁴ Articolo 2, punto 40, del Regolamento (UE) 2023/2854. La definizione comprende spazi di dati, reti di comunicazione, sistemi, prodotti connessi, applicazioni, servizi di trattamento dei dati e componenti.
²⁵ Articolo 3, paragrafo 1, del Regolamento (UE) 2023/2854. La disposizione qualifica l’accessibilità dei dati del prodotto e del servizio correlato come requisito di progettazione e fornitura, comprensivo dei pertinenti metadati necessari all’interpretazione e all’utilizzo dei dati.
²⁶ Il considerando 20 chiarisce che è necessario garantire che prodotti connessi e servizi correlati siano progettati e forniti in modo tale da rendere accessibili all’utente i dati del prodotto e del servizio correlato, compresi i metadati necessari per interpretarli, utilizzarli e condividerli.
²⁷ Articolo 50 del Regolamento (UE) 2023/2854, secondo cui l’obbligo derivante dall’articolo 3, paragrafo 1, si applica ai prodotti connessi e ai servizi correlati immessi sul mercato dopo il 12 settembre 2026.
²⁸ Articolo 3, paragrafo 2, lettere a)-d), del Regolamento (UE) 2023/2854.
²⁹ Articolo 3, paragrafo 3, lettere a)-i), del Regolamento (UE) 2023/2854.
³⁰ Considerando 20 del Regolamento (UE) 2023/2854.
³¹ Articolo 4, paragrafo 1, del Regolamento (UE) 2023/2854.
³² Articolo 4, paragrafo 4, del Regolamento (UE) 2023/2854. La formula corrisponde al divieto dei cosiddetti dark patterns, qui resi come interfacce manipolative o modelli oscuri.
³³ Articolo 4, paragrafo 5, del Regolamento (UE) 2023/2854.
³⁴ Articolo 4, paragrafo 10, del Regolamento (UE) 2023/2854.
³⁵ Articolo 4, paragrafo 6, del Regolamento (UE) 2023/2854. Per “accordi di riservatezza” si intendono gli strumenti contrattuali diretti a preservare la riservatezza delle informazioni condivise.
³⁶ Articolo 4, paragrafo 7, del Regolamento (UE) 2023/2854.
³⁷ Articolo 4, paragrafo 8, del Regolamento (UE) 2023/2854.
³⁸ Articolo 4, paragrafo 9, del Regolamento (UE) 2023/2854.
³⁹ Considerando 15 del Regolamento (UE) 2023/2854.
⁴⁰ Considerando 15 del Regolamento (UE) 2023/2854.
⁴¹ La distinzione tra dati grezzi o pretrattati, da un lato, e informazioni dedotte o ricavate mediante algoritmi proprietari complessi, dall’altro, assume particolare rilievo per le applicazioni algoritmiche, benché il regolamento non disciplini l’intelligenza artificiale come categoria autonoma.
⁴² Articolo 5, paragrafo 1, del Regolamento (UE) 2023/2854.
⁴³ Articolo 5, paragrafo 2, del Regolamento (UE) 2023/2854.
⁴⁴ Articolo 5, paragrafo 3, del Regolamento (UE) 2023/2854; articolo 3 del Regolamento (UE) 2022/1925 del Parlamento europeo e del Consiglio, del 14 settembre 2022, relativo a mercati equi e contendibili nel settore digitale.
⁴⁵ Articolo 5, paragrafo 3, lettere a)-c), del Regolamento (UE) 2023/2854.
⁴⁶ Articolo 6, paragrafo 2, lettera d), del Regolamento (UE) 2023/2854.
⁴⁷ Considerando 40 del Regolamento (UE) 2023/2854.
⁴⁸ Articolo 5, paragrafo 9, del Regolamento (UE) 2023/2854.
⁴⁹ Articoli 4, paragrafo 10, 5, paragrafo 3, e 6, paragrafo 2, lettere d) ed e), del Regolamento (UE) 2023/2854.
⁵⁰ Articolo 6, paragrafo 1, del Regolamento (UE) 2023/2854.
⁵¹ Articolo 6, paragrafo 2, lettere a)-g), del Regolamento (UE) 2023/2854. La lettera h) aggiunge che il terzo non può impedire all’utente che sia anche consumatore, neanche in base a un contratto, di mettere i dati ricevuti a disposizione di altre parti.
⁵² Articolo 7, paragrafo 1, primo comma, del Regolamento (UE) 2023/2854; Raccomandazione 2003/361/CE della Commissione, del 6 maggio 2003, relativa alla definizione delle microimprese, piccole e medie imprese.
⁵³ Articolo 7, paragrafo 1, secondo comma, del Regolamento (UE) 2023/2854.
⁵⁴ Considerando 41 del Regolamento (UE) 2023/2854, secondo cui una microimpresa o una piccola impresa può comunque essere soggetta agli obblighi stabiliti dal regolamento in qualità di titolare dei dati, se non è essa stessa il fabbricante del prodotto connesso o un fornitore di servizi correlati.
⁵⁵ Articolo 12, paragrafo 1, del Regolamento (UE) 2023/2854. La norma individua l’ambito di applicazione degli obblighi posti a carico dei titolari dei dati quando la messa a disposizione avviene nei rapporti tra imprese, in forza dell’articolo 5 o di una previsione normativa dell’Unione o nazionale conforme al diritto dell’Unione.
⁵⁶ Articolo 50 del Regolamento (UE) 2023/2854. Il Capo III si applica solo in relazione agli obblighi di messa a disposizione dei dati previsti dal diritto dell’Unione o dalla legislazione nazionale adottata in conformità del diritto dell’Unione che entrano in vigore dopo il 12 settembre 2025.
⁵⁷ Articolo 8, paragrafo 1, del Regolamento (UE) 2023/2854. La formula “condizioni eque, ragionevoli e non discriminatorie” corrisponde, nel lessico tecnico europeo, alla clausola comunemente indicata con l’acronimo inglese FRAND.
⁵⁸ Articolo 8, paragrafo 3, del Regolamento (UE) 2023/2854. La disposizione non configura un’inversione piena e generalizzata dell’onere della prova, ma impone al titolare dei dati, su richiesta motivata del destinatario, di fornire informazioni che dimostrino l’assenza di discriminazione.
⁵⁹ Articolo 8, paragrafo 4, del Regolamento (UE) 2023/2854.
⁶⁰ Articolo 8, paragrafo 6, del Regolamento (UE) 2023/2854.
⁶¹ Articolo 9, paragrafo 1, del Regolamento (UE) 2023/2854.
⁶² Articolo 9, paragrafo 2, lettere a) e b), del Regolamento (UE) 2023/2854.
⁶³ Articolo 9, paragrafo 3, del Regolamento (UE) 2023/2854.
⁶⁴ Articolo 9, paragrafo 4, del Regolamento (UE) 2023/2854. Il considerando 49 chiarisce che tale limite è diretto a proteggere le piccole e medie imprese da oneri economici eccessivi che renderebbero troppo difficile lo sviluppo e la gestione di modelli imprenditoriali innovativi; lo stesso regime si applica agli organismi di ricerca senza fini di lucro.
⁶⁵ Articolo 9, paragrafo 5, del Regolamento (UE) 2023/2854. Il Comitato europeo per l’innovazione in materia di dati è indicato nel regolamento con l’acronimo EDIB.
⁶⁶ Considerando 46 del Regolamento (UE) 2023/2854. Il compenso ragionevole, quando dovuto nei rapporti tra imprese, non deve intendersi come pagamento per i dati stessi, ma come compenso collegato all’adempimento dell’obbligo di messa a disposizione.
⁶⁷ Articolo 13, paragrafo 1, del Regolamento (UE) 2023/2854. La norma riguarda le clausole contrattuali concernenti l’accesso ai dati e il loro utilizzo, o la responsabilità e i mezzi di ricorso in caso di violazione e cessazione degli obblighi relativi ai dati, quando siano imposte unilateralmente da un’impresa a un’altra impresa.
⁶⁸ Considerando 60 del Regolamento (UE) 2023/2854, secondo cui il test di abusività riguarda soltanto gli elementi del contratto relativi alla messa a disposizione dei dati, mentre le altre parti del contratto restano estranee alla disciplina speciale.
⁶⁹ Articolo 13, paragrafo 3, del Regolamento (UE) 2023/2854.
⁷⁰ Articolo 13, paragrafo 6, del Regolamento (UE) 2023/2854.
⁷¹ Considerando 59 del Regolamento (UE) 2023/2854. La disciplina mira alle situazioni contrattuali di tipo “prendere o lasciare”, nelle quali una parte non è in grado di incidere sul contenuto della clausola malgrado un tentativo di negoziazione.
⁷² Articolo 13, paragrafo 6, del Regolamento (UE) 2023/2854.
⁷³ Articolo 13, paragrafo 4, lettere a)-c), del Regolamento (UE) 2023/2854.
⁷⁴ Articolo 13, paragrafo 5, lettere a)-g), del Regolamento (UE) 2023/2854. La presunzione di abusività è confutabile dalla parte che ha imposto unilateralmente la clausola, come chiarito dal considerando 62.
⁷⁵ Articolo 50 del Regolamento (UE) 2023/2854. Il Capo IV si applica ai contratti conclusi dopo il 12 settembre 2025; per i contratti conclusi il 12 settembre 2025 o anteriormente a tale data si applica dal 12 settembre 2027, purché siano a tempo indeterminato o scadano almeno dieci anni dopo l’11 gennaio 2024.
⁷⁶ Articolo 13, paragrafo 8, del Regolamento (UE) 2023/2854.
⁷⁷ Considerando 61 del Regolamento (UE) 2023/2854. La disciplina non colpisce le normali espressioni della libertà contrattuale nei rapporti tra imprese, ma le clausole eccessive derivanti dall’abuso di una posizione negoziale più forte.
⁷⁸ Articolo 14 del Regolamento (UE) 2023/2854. Il Capo V è rubricato “Mettere i dati a disposizione di enti pubblici, della Commissione, della Banca centrale europea e di organismi dell’Unione sulla base di necessità eccezionali”.
⁷⁹ Articoli 14 e 15 del Regolamento (UE) 2023/2854. L’obbligo riguarda i titolari dei dati che siano persone giuridiche diverse da enti pubblici e che detengano i dati richiesti.
⁸⁰ Articolo 15, paragrafo 1, del Regolamento (UE) 2023/2854. La necessità eccezionale è espressamente limitata nel tempo e nella portata.
⁸¹ Articolo 15, paragrafo 1, lettera a), del Regolamento (UE) 2023/2854.
⁸² Articolo 2, punto 29, del Regolamento (UE) 2023/2854.
⁸³ Articolo 17, paragrafo 1, lettera d), del Regolamento (UE) 2023/2854; cfr. anche articolo 18, paragrafo 4, sulla regola dell’anonimizzazione e, quando la divulgazione di dati personali sia necessaria, della pseudonimizzazione.
⁸⁴ Articolo 15, paragrafo 1, lettera b), del Regolamento (UE) 2023/2854.
⁸⁵ Articolo 15, paragrafo 2, del Regolamento (UE) 2023/2854.
⁸⁶ Articolo 17, paragrafo 1, lettere a)-i), del Regolamento (UE) 2023/2854.
⁸⁷ Articolo 17, paragrafo 2, del Regolamento (UE) 2023/2854.
⁸⁸ Articolo 18, paragrafo 2, del Regolamento (UE) 2023/2854.
⁸⁹ Articolo 18, paragrafo 2, lettere a)-c), del Regolamento (UE) 2023/2854.
⁹⁰ Articolo 20, paragrafo 1, del Regolamento (UE) 2023/2854.
⁹¹ Articolo 20, paragrafo 3, del Regolamento (UE) 2023/2854.
⁹² Articolo 20, paragrafo 2, del Regolamento (UE) 2023/2854.
⁹³ Articolo 20, paragrafo 2, secondo comma, del Regolamento (UE) 2023/2854.
⁹⁴ Articolo 20, paragrafo 4, del Regolamento (UE) 2023/2854.
⁹⁵ Considerando 78 del Regolamento (UE) 2023/2854. Il passaggio tra servizi di trattamento dei dati è ricostruito come condizione di contendibilità del mercato e come strumento di riduzione della dipendenza del cliente dal fornitore originario.
⁹⁶ Considerando 79 del Regolamento (UE) 2023/2854. La disposizione richiama il Regolamento (UE) 2018/1807 e la limitata diffusione dei quadri di autoregolamentazione, giustificando l’introduzione di obblighi normativi minimi per eliminare ostacoli precommerciali, commerciali, tecnici, contrattuali e organizzativi.
⁹⁷ Articolo 1, paragrafo 3, lettera f), del Regolamento (UE) 2023/2854. Il Capo VI si applica ai fornitori di servizi di trattamento dei dati, indipendentemente dal luogo di stabilimento, che forniscono tali servizi a clienti nell’Unione.
⁹⁸ Articolo 23 del Regolamento (UE) 2023/2854. Il riferimento all’infrastruttura locale di tecnologie dell’informazione e della comunicazione scioglie l’acronimo TIC.
⁹⁹ Articolo 23, lettere a)-e), del Regolamento (UE) 2023/2854.
¹⁰⁰ Articolo 25, paragrafo 2, lettera a), del Regolamento (UE) 2023/2854.
¹⁰¹ Articolo 25, paragrafo 2, lettere b) e c), del Regolamento (UE) 2023/2854.
¹⁰² Articolo 25, paragrafo 2, lettere d)-i), del Regolamento (UE) 2023/2854.
¹⁰³ Articolo 25, paragrafo 5, del Regolamento (UE) 2023/2854.
¹⁰⁴ Articolo 29, paragrafo 1, del Regolamento (UE) 2023/2854.
¹⁰⁵ Articolo 29, paragrafi 2 e 3, del Regolamento (UE) 2023/2854.
¹⁰⁶ Articolo 29, paragrafo 4, del Regolamento (UE) 2023/2854.
¹⁰⁷ Articolo 29, paragrafo 7, del Regolamento (UE) 2023/2854.
¹⁰⁸ Articolo 2, punto 37, del Regolamento (UE) 2023/2854. La nozione di equivalenza funzionale è definita in rapporto ai dati esportabili, alle risorse digitali del cliente e alle caratteristiche condivise del servizio di destinazione.
¹⁰⁹ Articolo 30, paragrafo 1, del Regolamento (UE) 2023/2854. La disposizione si riferisce ai servizi di trattamento dei dati concernenti risorse informatiche scalabili ed elastiche limitate a elementi infrastrutturali, quali server, reti e risorse virtuali necessarie al funzionamento dell’infrastruttura, corrispondenti, nella tassonomia tecnica dei servizi, ai servizi di infrastruttura come servizio.
¹¹⁰ Articolo 30, paragrafo 2, del Regolamento (UE) 2023/2854.
¹¹¹ Articolo 30, paragrafo 2, del Regolamento (UE) 2023/2854.
¹¹² Articolo 30, paragrafo 6, del Regolamento (UE) 2023/2854.
¹¹³ Articolo 32 del Regolamento (UE) 2023/2854, rubricato “Accesso governativo e trasferimento internazionali”. La disposizione è collocata nel Capo VII, dedicato all’accesso governativo e al trasferimento internazionali di dati non personali.
¹¹⁴ Articolo 32, paragrafo 1, del Regolamento (UE) 2023/2854. L’obbligo grava sui fornitori di servizi di trattamento dei dati e riguarda i dati non personali detenuti nell’Unione.
¹¹⁵ Considerando 102 del Regolamento (UE) 2023/2854. Le misure indicate comprendono cifratura, audit, adesione a sistemi di certificazione della sicurezza e adeguamento delle politiche aziendali.
¹¹⁶ Articolo 32, paragrafo 2, del Regolamento (UE) 2023/2854. Il riferimento ai trattati di mutua assistenza giudiziaria corrisponde alla formula comunemente indicata con l’acronimo inglese MLAT, qui resa per esteso.
¹¹⁷ Articolo 32, paragrafo 3, primo comma, lettere a)-c), del Regolamento (UE) 2023/2854.
¹¹⁸ Articolo 32, paragrafo 3, secondo comma, del Regolamento (UE) 2023/2854. La norma prevede anche il possibile coinvolgimento della Commissione e il ruolo consultivo del Comitato europeo per l’innovazione in materia di dati nell’elaborazione di orientamenti.
¹¹⁹ Articolo 32, paragrafo 5, del Regolamento (UE) 2023/2854.
¹²⁰ Articolo 33, paragrafo 1, lettera a), del Regolamento (UE) 2023/2854. La disposizione include espressamente, oltre al contenuto degli insiemi di dati e alla metodologia di raccolta, anche le restrizioni all’uso, le licenze, la qualità e l’incertezza dei dati.
¹²¹ Articolo 33, paragrafo 1, lettera b), del Regolamento (UE) 2023/2854.
¹²² Articolo 33, paragrafo 1, lettera c), del Regolamento (UE) 2023/2854. Le interfacce di programmazione delle applicazioni corrispondono all’acronimo API, qui sciolto per esteso.
¹²³ Articolo 33, paragrafo 1, lettera d), del Regolamento (UE) 2023/2854.
¹²⁴ Articolo 36, paragrafo 1, lettera a), del Regolamento (UE) 2023/2854.
¹²⁵ Articolo 36, paragrafo 1, lettera b), del Regolamento (UE) 2023/2854. Il termine inglese “reset” è reso nel testo ufficiale con “reimpostare”.
¹²⁶ Articolo 36, paragrafo 1, lettera c), del Regolamento (UE) 2023/2854.
¹²⁷ Articolo 36, paragrafo 1, lettere d) ed e), del Regolamento (UE) 2023/2854.
¹²⁸ Articolo 36, paragrafo 2, del Regolamento (UE) 2023/2854. La dichiarazione di conformità UE è la dichiarazione di conformità dell’Unione europea.
¹²⁹ Articolo 37, paragrafo 1, del Regolamento (UE) 2023/2854. Il Capo IX è rubricato “Attuazione ed esecuzione”.
¹³⁰ Articolo 37, paragrafo 2, del Regolamento (UE) 2023/2854.
¹³¹ Articolo 37, paragrafo 6, lettere a)-c), del Regolamento (UE) 2023/2854. Rispetto alla formula sintetica “on line”, il testo utilizza l’espressione “pubblicamente disponibili online”, qui resa come “pubblicamente disponibili in linea”.
¹³² Articolo 37, paragrafo 3, del Regolamento (UE) 2023/2854. Il Regolamento (UE) 2016/679 è il Regolamento generale sulla protezione dei dati.
¹³³ Articolo 37, paragrafo 4, lettera b), del Regolamento (UE) 2023/2854.
¹³⁴ Articolo 40, paragrafo 1, del Regolamento (UE) 2023/2854.
¹³⁵ Articolo 40, paragrafo 2, del Regolamento (UE) 2023/2854.
¹³⁶ Articolo 40, paragrafo 3, lettere a)-f), del Regolamento (UE) 2023/2854. Il Comitato europeo per l’innovazione in materia di dati corrisponde all’acronimo EDIB.
¹³⁷ Articolo 40, paragrafo 4, del Regolamento (UE) 2023/2854; articolo 83 del Regolamento (UE) 2016/679.
¹³⁸ Articolo 40, paragrafo 5, del Regolamento (UE) 2023/2854; articolo 66 del Regolamento (UE) 2018/1725.
¹³⁹ Articolo 41 del Regolamento (UE) 2023/2854. Le “clausole contrattuali standard non vincolanti per i contratti di cloud computing” sono rese nel testo come clausole contrattuali standard per i contratti di servizi di elaborazione da remoto.
¹⁴⁰ Articolo 43 del Regolamento (UE) 2023/2854. Il Capo X è rubricato “Diritto sui generis a norma della Direttiva 96/9/CE”.
¹⁴¹ Considerando 112 del Regolamento (UE) 2023/2854. La disposizione mira a evitare che il diritto sui generis sulle banche dati possa ostacolare l’effettivo esercizio del diritto degli utenti di accedere ai dati, utilizzarli e condividerli con terzi.
¹⁴² Considerando 112 del Regolamento (UE) 2023/2854; articolo 7, paragrafo 1, della Direttiva 96/9/CE.
¹⁴³ Articolo 50 del Regolamento (UE) 2023/2854, sull’entrata in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell’Unione europea; articolo 29, paragrafi 2 e 3, sul periodo transitorio delle tariffe di passaggio ridotte dall’11 gennaio 2024 al 12 gennaio 2027.
¹⁴⁴ Articolo 50 del Regolamento (UE) 2023/2854, sull’applicazione generale a decorrere dal 12 settembre 2025; articolo 40, paragrafo 2, sulla notifica delle sanzioni nazionali; articolo 41, sulle clausole contrattuali tipo e standard non vincolanti.
¹⁴⁵ Articolo 50 del Regolamento (UE) 2023/2854.
¹⁴⁶ Articolo 50 del Regolamento (UE) 2023/2854.
¹⁴⁷ Articolo 50 del Regolamento (UE) 2023/2854.
¹⁴⁸ Articolo 29, paragrafo 1, del Regolamento (UE) 2023/2854.
¹⁴⁹ Articolo 50 del Regolamento (UE) 2023/2854.
¹⁵⁰ Articolo 49, paragrafo 2, del Regolamento (UE) 2023/2854. La disposizione prevede che la Commissione effettui la valutazione entro il 12 settembre 2028 e presenti una relazione al Parlamento europeo, al Consiglio e al Comitato economico e sociale europeo.
¹⁵¹ Considerando 5 e articolo 1 del Regolamento (UE) 2023/2854. Il regolamento mira a garantire l’accesso ai dati generati dall’uso di prodotti connessi o servizi correlati, la loro condivisione con terzi, la messa a disposizione in condizioni eque, il passaggio tra servizi di trattamento dei dati e l’interoperabilità.
¹⁵² Articoli 3 e 4 del Regolamento (UE) 2023/2854. L’articolo 3 impone obblighi di progettazione e trasparenza; l’articolo 4 disciplina il diritto dell’utente di accedere ai dati quando essi non siano direttamente accessibili dal prodotto connesso o dal servizio correlato.
¹⁵³ Articoli 5 e 6 del Regolamento (UE) 2023/2854. Il regolamento esclude le imprese designate come controllori dell’accesso dal novero dei terzi beneficiari e impone ai terzi destinatari limiti di finalità, cancellazione, divieto di profilazione non necessaria, divieto di trasmissione ai controllori dell’accesso e divieto di sviluppo di prodotti concorrenti.
¹⁵⁴ Considerando 15 e articoli 4, paragrafi 6-8, e 5, paragrafi 9-11, del Regolamento (UE) 2023/2854. Il considerando 15 distingue i dati grezzi, fonte o pretrattati, rientranti nell’ambito applicativo del regolamento, dalle informazioni dedotte o ricavate mediante ulteriori investimenti e algoritmi proprietari complessi.
¹⁵⁵ Articoli 8, 9 e 13 del Regolamento (UE) 2023/2854. Le condizioni eque, ragionevoli e non discriminatorie corrispondono alla formula comunemente indicata con l’acronimo FRAND; il test di abusività dell’articolo 13 riguarda le clausole imposte unilateralmente nei rapporti tra imprese.
¹⁵⁶ Articoli 14-22 del Regolamento (UE) 2023/2854. Il Capo V disciplina la messa a disposizione dei dati a enti pubblici, Commissione, Banca centrale europea e organismi dell’Unione sulla base di una necessità eccezionale, secondo condizioni sostanziali e procedurali specifiche.
¹⁵⁷ Articoli 23-31 del Regolamento (UE) 2023/2854. Il Capo VI disciplina il passaggio tra servizi di trattamento dei dati, l’eliminazione degli ostacoli precommerciali, commerciali, tecnici, contrattuali e organizzativi, la riduzione e abolizione delle tariffe di passaggio e il conseguimento dell’equivalenza funzionale.
¹⁵⁸ Articolo 43 e considerando 112 del Regolamento (UE) 2023/2854. Il diritto sui generis di cui all’articolo 7 della Direttiva 96/9/CE non si applica quando i dati sono ottenuti o generati da un prodotto connesso o da un servizio correlato rientrante nell’ambito del regolamento, in particolare in relazione agli articoli 4 e 5.
¹⁵⁹ Articoli 37 e 40 del Regolamento (UE) 2023/2854. Il Capo IX disciplina autorità competenti, coordinatore dei dati, competenze delle autorità di controllo in materia di protezione dei dati personali e sistema sanzionatorio.
¹⁶⁰ Articolo 50 del Regolamento (UE) 2023/2854. Il regolamento si applica, salvo specifiche disposizioni transitorie, a decorrere dal 12 settembre 2025.
