Sarà l’AgID (Agenzia per l’Italia Digitale) la nuova autorità competente per l’applicazione del Data Governance Act, il Regolamento (UE) 2022/868 del Parlamento europeo e del Consiglio relativo alla governance europea dei dati (noto anche “DGA”).

È questa la novità più importante dello schema di decreto legislativo recante norme di adeguamento della normativa nazionale alle disposizioni del DGA, che il Consiglio dei ministri ha approvato lo scorso primo ottobre con emissione di parere favorevole.

Lo schema di decreto, precedentemente pubblicato come Atto del Governo n. 177, si occupa, in esecuzione delle disposizioni regolamentari, di individuare quale sia l’autorità nazionale competente per:

1. i servizi di intermediazione dei dati (servizi che collegano “un numero indeterminato di interessati e titolari dei dati agli utenti dei dati per stabilire una relazione commerciale di condivisione dei dati”);
2. la registrazione delle organizzazioni di altruismo dei dati, da intendersi come “la condivisione volontaria di dati sulla base del consenso accordato dagli interessati, senza la richiesta o la ricezione di un compenso che vada oltre la compensazione dei costi sostenuti per la messa a disposizione per obiettivi di interesse generale”.

Restano ferme le disposizioni già in vigore per quanto riguarda il tema della protezione dei dati personali e le specifiche competenze del Garante per la protezione dei dati personali, dell’Agenzia per la cybersicurezza nazionale e dell’Autorità garante della concorrenza e del mercato previste dalla normativa vigente.

Servizi di intermediazione e altruismo dei dati: i compiti di AgID

A seguito della emissione di parere favorevole da parte del Consiglio dei ministri, si conferma, dunque, come competente per le attività suindicate l’Agenzia per l’Italia Digitale (o AGID).

L’agenzia, in esecuzione di quanto previsto dagli artt. 13, 23 e 26 del DGA, dovrà, sinteticamente:

1. procedere allo svolgimento delle attività relative alle procedure di notifica per i servizi di intermediazione dei dati (procedure previste all’art. 11 del DGA, che pongono in capo all’Autorità nominata la competenza di rilasciare, entro una settimana dalla ricezione della notifica “debitamente e interamente completata, una dichiarazione standardizzata in cui conferma che il fornitore di servizi di intermediazione dei dati ha presentato la notifica di cui al paragrafo 1 e che la notifica contiene le informazioni di cui al paragrafo 6” del medesimo articolo;
2. procedere alla registrazione delle organizzazioni per l’altruismo dei dati, verificando la sussistenza dei requisiti di legge da parte delle organizzazioni richiedenti.

Il tutto dovrà essere svolto secondo principi di imparzialità, trasparenza, coerenza, affidabilità, tempestività, salvaguardia della concorrenza e non discriminazione (il parere riporta, più nel dettaglio, che “tale attività deve svolgersi in maniera imparziale, trasparente, coerente, affidabile e tempestiva, salvaguardando, nell’esercizio della propria attività, la concorrenza leale e la non discriminazione, ed in conformità degli ulteriori requisiti previsti dall’articolo 26 del regolamento”. oltre che con l’ausilio dell’Agenzia per la cybersicurezza nazionale, dell’Autorità Garante della concorrenza e del mercato, oltre che del Garante per la protezione dei dati personali, ciascuna per quanto di propria competenza, anche mediante “stipula di convenzioni non onerose” al fine di non gravare sui costi di svolgimento dell’attività demandatale.

Sarà compito dell’AGID anche emanare un provvedimento nel quale vengano delineate le disposizioni tecniche e organizzative da porre in atto per facilitare l’altruismo dei dati e stabilire le informazioni necessarie che devono essere fornite agli interessati in merito al riutilizzo dei loro dati nell’interesse generale.

L’AGID dovrà altresì procedere al periodico monitoraggio e controllo degli adempimenti prescritti dal DGA, “in particolare quelli relativi ai requisiti applicabili ai servizi di intermediazione dei dati, di cui al Capo III del regolamento e all’altruismo dei dati, di cui al Capo IV del regolamento.

AgID nuovo Sportello Unico

Il decreto legislativo di recepimento della direttiva identifica sempre nell’AgID:

1. l’organismo competente “per assistere gli enti pubblici che concedono o rifiutano l’accesso al riutilizzo delle categorie di dati”, per motivi di riservatezza e di protezione dei dati personali, e “per concedere l’accesso per il riutilizzo delle categorie di dati”, sempre ai sensi di quanto previsto dall’art. 7 DGA;
2. l’organismo competente per determinare le tariffe di riutilizzo;
3. lo sportello unico competente, ai sensi dell’art. 8 del DGA, “competente per il ricevimento delle richieste di informazioni e delle richieste di riutilizzo delle categorie di dati” e cote per la loro trasmissione agli enti pubblici e agli organismi competenti. Lo sportello unico dovrà anche mettere a disposizione “per via elettronica un elenco consultabile delle risorse che comprende una panoramica di tutte le risorse di dati disponibili, tra cui, se del caso, quelle disponibili presso gli sportelli settoriali, regionali e locali, contenente informazioni pertinenti che descrivono i dati disponibili, compresi almeno il formato e le dimensioni dei dati e le condizioni per il loro riutilizzo”.

Disciplina sanzionatoria

L’AgID sarà competente anche dell’emanazione delle sanzioni previste dall’art. 34 del DGA, per le quali il decreto legislativo stabilisce che potranno variare “da un minimo di euro 10.000 fino a un massimo di euro 100.000, ovvero, per le imprese, fino al 6 per cento del fatturato mondiale totale annuo dell’esercizio precedente”.

Infine, l’AgID potrà precisare, mediante suoi provvedimenti, dei criteri aggiuntivi rispetto a quelli determinati dal comma 2 dell’art. 3 DGA per la determinazione degli importi sanzionatori e misure idonee a garantirne l’effettività, la proporzionalità, la dissuasività e l’applicazione.