Data governance act, l’Italia si adegua

Il 10 ottobre 2024 è stato pubblicato in Gazzetta Ufficiale il d.lgs. 7 ottobre 2024, n. 144, contenente le norme di adeguamento della normativa nazionale al Regolamento Ue 2022/868 (Data governance act – Dga) del Parlamento Europeo e del Consiglio, del 30 maggio 2022, relativo alla governance europea dei dati e che modifica il regolamento Ue 2018/1724. L’entrata in vigore è prevista per il 25 ottobre, cioè domani.

Il Regolamento europeo n. 2022/868 ha demandato a ciascun Stato membro l’adozione di norme a livello nazionale su determinati aspetti, tra cui la designazione degli organismi competenti per assistere gli enti pubblici che, ai sensi del Data governance act, concedono o rifiutano l’accesso al riutilizzo di dati, nonché l’individuazione dell’autorità competente a svolgere i compiti relativi alle procedure connesse ai servizi di intermediazione dei dati.

Il d.lgs. 144/2024, adottato ai sensi dell’articolo 17 della legge 21 febbraio 2024, n. 15 (legge di delegazione europea 2022-2023), prevede il recepimento a livello nazionale di tali aspetti oltre alla determinazione della disciplina sanzionatoria nazionale, in applicazione degli articoli 7, 13, 23 e 34 del Data governance act.

L’Italia, in ottemperanza a tale previsione, ha designato l’Agenzia per l’Italia digitale (Agid) quale autorità competente allo svolgimento dei compiti relativi alla procedura di notifica per i servizi di intermediazione dei dati, nonché quale autorità competente alla registrazione di organizzazioni per l’altruismo dei dati.

Il concetto di altruismo dei dati richiamato dalla norma, è definito dal Data governance act come la condivisione volontaria di dati sulla base del consenso accordato dagli interessati al trattamento dei dati personali che li riguardano, o sulle autorizzazioni di altri titolari dei dati volte a consentire l’uso dei loro dati non personali, senza la richiesta o la ricezione di un compenso che vada oltre la compensazione dei costi sostenuti per mettere a disposizione tali dati, e ciò per obiettivi di interesse generale, stabiliti nel diritto nazionale, ove applicabile, quali l’assistenza sanitaria, la lotta ai cambiamenti climatici, il miglioramento della mobilità, l’agevolazione dell’elaborazione, della produzione e della divulgazione di statistiche ufficiali, il miglioramento della fornitura dei servizi pubblici, l’elaborazione delle politiche pubbliche o la ricerca scientifica nell’interesse generale. 

L’Agid dovrà svolgere la propria attività in maniera imparziale, trasparente, coerente, affidabile e tempestiva, salvaguardando la concorrenza leale e la non discriminazione.

Inoltre, dovrà operare in stretta collaborazione con l’Agenzia per la cybersicurezza nazionale (Acn), l’Autorità garante della concorrenza del mercato (Agcm) e con il Garante per la protezione dei dati personali, anche tramite la stipulazione di specifici accordi (non onerosi, in conformità anche alla clausola di invarianza finanziaria prevista dall’articolo 5 del decreto). 

Tali accordi potranno definire le forme e i modi di esercizio del coordinamento, anche endoprocedimentale, e le competenze dei soggetti coinvolti in relazione alla materia trattata e, nel rispetto del principio di leale collaborazione, dovranno prevedere forme specifiche di consultazione del Garante della privacy ogniqualvolta il procedimento amministrativo realizzato abbia implicazioni in termini di protezione dei dati. 

L’Agid, sentite l’Agenzia per la cybersicurezza nazionale, l’Agcm e il Garante per la protezione dei dati personali, stabilirà con proprio provvedimento le disposizioni tecniche e organizzative per facilitare l’altruismo dei dati, nonché le informazioni necessarie che dovranno essere fornite agli interessati in merito al loro riutilizzo nell’interesse generale, così come previsto dall’articolo 16 del Dga. Inoltre, conformemente all’agli articoli 14 e 24 del Dga, l’Agid provvederà al monitoraggio e al controllo della conformità dei fornitori di servizi di intermediazione dei dati e delle organizzazioni riconosciute per l’altruismo dei dati. 

In attuazione dell’articolo 7 del Regolamento Ue 2022/868, l’Agid è stata designata anche quale organismo competente per assistere gli enti pubblici che concedono o rifiutano l’accesso al riutilizzo delle categorie di dati protetti per motivi di: 

a) riservatezza commerciale, compresi i segreti commerciali, professionali o d’impresa; 

b) riservatezza statistica;

c) protezione dei diritti di proprietà intellettuale di terzi; 

d) protezione dei dati personali, nella misura in cui tali dati non rientrano nell’ambito di applicazione della direttiva Ue 2019/1024 (relativa all’apertura dei dati e al riutilizzo dell’informazione del settore pubblico). 

L’Agid è stata designata anche quale sportello unico previsto dall’articolo 8 del Dga e provvede all’implementazione delle relative funzioni estendendo il punto d’accesso unico garantito dal catalogo nazionale dei dati aperti, già previsto dal d.lgs. 24 gennaio 2006, n. 36, che ha attuato la direttiva Ue 2019/1024 relativa all’apertura dei dati e al riutilizzo dell’informazione del settore pubblico.

Infine, il decreto 144, in attuazione dell’articolo 34 del Dga, ha introdotto una disciplina sanzionatoria per la violazione degli obblighi previsti dal regolamento. 

Ferma l’applicazione della disciplina in materia di protezione dei dati personali e salvo che il fatto costituisca reato, l’Agid – all’esito del procedimento sanzionatorio previsto dall’articolo 18-bis del codice dell’amministrazione digitale (d.lgs. 7 marzo 2005, n. 82) – potrà comminare sanzioni amministrative pecuniarie da un minimo di euro 10mila fino a un massimo di euro 100mila, ovvero, per le imprese, fino al 6% del fatturato mondiale totale annuo dell’esercizio precedente.

Tali sanzioni, che dovranno essere effettive, proporzionate e dissuasive, dovranno inoltre tenere conto dei seguenti criteri: 

a) la natura, la gravità, l’entità e la durata della violazione;

b) qualsiasi azione intrapresa dal fornitore di servizi di intermediazione dei dati o da un’organizzazione per l’altruismo dei dati riconosciuta al fine di attenuare il danno derivante dalla violazione o porvi rimedio;

c) qualsiasi precedente violazione da parte del fornitore di servizi di intermediazione dei dati o dell’organizzazione per l’altruismo dei dati riconosciuta;

d) i vantaggi finanziari ottenuti o le perdite evitate dal fornitore di servizi di intermediazione dei dati o da un’organizzazione per l’altruismo dei dati riconosciuta in ragione della violazione, nella misura in cui tali profitti o perdite possano essere determinati in modo attendibile;

e) eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso.

L’Agid, con determinazioni da adottare entro trenta giorni dalla data di entrata in vigore del decreto, potrà specificare i criteri per la determinazione dell’importo delle sanzioni, i cui proventi saranno versati al bilancio dello stato, per essere riassegnati allo stato di previsione della spesa del Mef (Ministero dell’economia e finanza) e destinati per il 50% all’Agid stessa e, per la restante parte al Fondo per l’innovazione tecnologica e la digitalizzazione, introdotto dall’articolo 239 del d.l. 19 maggio 2020, n. 34, convertito in legge 17 luglio 2020, n. 77.

Il d.lgs. 144/2024, adeguando il diritto interno al Data governance act, ha accentuato i poteri dell’Agenzia per l’Italia digitale, estendendone le funzioni. Grazie all’opera che l’Agid svolgerà in maniera imparziale, trasparente, coerente, affidabile e tempestiva, in stretta cooperazione con l’Agenzia per la cybersicurezza nazionale, l’Agcm e il Garante privacy, potranno essere attuati anche in Italia gli obiettivi del Data governance act.