Sarà l’AgID (Agenzia per l’Italia Digitale) la nuova autorità competente per l’applicazione del Data Governance Act, il Regolamento (UE) 2022/868 del Parlamento europeo e del Consiglio relativo alla governance europea dei dati (noto anche “DGA”).
È questa la novità più importante dello schema di decreto legislativo recante norme di adeguamento della normativa nazionale alle disposizioni del DGA, che il Consiglio dei ministri ha approvato lo scorso primo ottobre con emissione di parere favorevole.
Lo schema di decreto, precedentemente pubblicato come Atto del Governo n. 177, si occupa, in esecuzione delle disposizioni regolamentari, di individuare quale sia l’autorità nazionale competente per:
Restano ferme le disposizioni già in vigore per quanto riguarda il tema della protezione dei dati personali e le specifiche competenze del Garante per la protezione dei dati personali, dell’Agenzia per la cybersicurezza nazionale e dell’Autorità garante della concorrenza e del mercato previste dalla normativa vigente.
A seguito della emissione di parere favorevole da parte del Consiglio dei ministri, si conferma, dunque, come competente per le attività suindicate l’Agenzia per l’Italia Digitale (o AGID).
L’agenzia, in esecuzione di quanto previsto dagli artt. 13, 23 e 26 del DGA, dovrà, sinteticamente:
Il tutto dovrà essere svolto secondo principi di imparzialità, trasparenza, coerenza, affidabilità, tempestività, salvaguardia della concorrenza e non discriminazione (il parere riporta, più nel dettaglio, che “tale attività deve svolgersi in maniera imparziale, trasparente, coerente, affidabile e tempestiva, salvaguardando, nell’esercizio della propria attività, la concorrenza leale e la non discriminazione, ed in conformità degli ulteriori requisiti previsti dall’articolo 26 del regolamento”. oltre che con l’ausilio dell’Agenzia per la cybersicurezza nazionale, dell’Autorità Garante della concorrenza e del mercato, oltre che del Garante per la protezione dei dati personali, ciascuna per quanto di propria competenza, anche mediante “stipula di convenzioni non onerose” al fine di non gravare sui costi di svolgimento dell’attività demandatale.
Sarà compito dell’AGID anche emanare un provvedimento nel quale vengano delineate le disposizioni tecniche e organizzative da porre in atto per facilitare l’altruismo dei dati e stabilire le informazioni necessarie che devono essere fornite agli interessati in merito al riutilizzo dei loro dati nell’interesse generale.
L’AGID dovrà altresì procedere al periodico monitoraggio e controllo degli adempimenti prescritti dal DGA, “in particolare quelli relativi ai requisiti applicabili ai servizi di intermediazione dei dati, di cui al Capo III del regolamento e all’altruismo dei dati, di cui al Capo IV del regolamento.
Il decreto legislativo di recepimento della direttiva identifica sempre nell’AgID:
L’AgID sarà competente anche dell’emanazione delle sanzioni previste dall’art. 34 del DGA, per le quali il decreto legislativo stabilisce che potranno variare “da un minimo di euro 10.000 fino a un massimo di euro 100.000, ovvero, per le imprese, fino al 6 per cento del fatturato mondiale totale annuo dell’esercizio precedente”.
Infine, l’AgID potrà precisare, mediante suoi provvedimenti, dei criteri aggiuntivi rispetto a quelli determinati dal comma 2 dell’art. 3 DGA per la determinazione degli importi sanzionatori e misure idonee a garantirne l’effettività, la proporzionalità, la dissuasività e l’applicazione.