Il 25 ottobre 2024 è entrato in vigore il decreto legislativo n. 144/2024, che recepisce il regolamento (UE) 2022/868 (“Data Governance Act”) in Italia.
Già pubblicato in Gazzetta Ufficiale il 10 ottobre 2024 e preceduto dai pareri del Garante per la protezione dei dati personali, dell’Agenzia per la cybersicurezza nazionale e dell’Agenzia per l’Italia digitale, il decreto ha l’obiettivo di armonizzare la normativa nazionale con il Data Governance Act, volto a promuovere la condivisione e il riutilizzo dei dati pubblici e privati in modo sicuro e trasparente.
Le novità introdotte dal Data Governance Act
Il Data Governance Act, applicabile dal 24 settembre 2023, è un regolamento europeo che mira a creare un quadro normativo per facilitare il riutilizzo dei dati (personali e non) detenuti da enti pubblici e privati, promuovendo la fiducia e la trasparenza nella condivisione dei dati per finalità di interesse generale.
Tra le principali innovazioni, il Data Governance Act introduce la possibilità (ma non l’obbligo) per la pubblica amministrazione, di condividere dati non coperti dalla precedente disciplina sui c.d. “open data” (Direttiva (UE) 2019/1024 relativa all’apertura dei dati e al riutilizzo dell’informazione del settore pubblico), prevedendo una serie di misure tecniche per garantirne la sicurezza e la riservatezza. In particolare, i dati in possesso della PA dovranno essere sottoposti a misure di pseudonimizzazione e anonimizzazione dei dati, uso di server sicuri e stipula di accordi contrattuali di riservatezza tra l’ente pubblico e il riutilizzatore dei dati. Per favorire la ricerca e lo sviluppo di PMI e start-up, l’accesso e il riutilizzo dei dati è consentito sulla base di tariffe calmierate.
Il Data Governance Act introduce inoltre il concetto di “altruismo dei dati”, in base al quale cittadini e imprese possono rendere disponibili i dati da loro generati a vantaggio della collettività e per finalità di interesse generale, come ad esempio per progetti di ricerca scientifica, innovazione tecnologica e politiche pubbliche. Le organizzazioni che desiderano partecipare a queste iniziative devono rispettare rigorosi requisiti di trasparenza e sicurezza, garantendo che i dati siano protetti, utilizzati eticamente e per finalità non commerciali.
Per incentivare la condivisione e il riutilizzo dei dati, il Data Governance Act ha introdotto inoltre la figura dell’intermediario dei dati. Si tratta di un soggetto che facilita la condivisione e lo scambio di dati tra diversi attori, come aziende, enti pubblici e individui, in qualità di mediatore neutrale, e offrendo garanzie di cybersicurezza e tutela della trasparenza dei flussi di dati. L’intermediario non possiede né controlla i dati, ma fornisce una piattaforma o un servizio che permette alle organizzazioni o ai singoli cittadini di condividerli in modo controllato. Il loro ruolo è cruciale per costruire la fiducia tra le parti coinvolte, assicurando che i dati siano trattati in modo conforme alle leggi e nel rispetto dei diritti degli individui.
Cosa prevede il Decreto 144/2024
Il Data Governance Act, essendo un regolamento europeo, si applica direttamente e obbligatoriamente in tutti i suoi elementi in Italia già a partire dal 24 settembre 2023, con alcune disposizioni transitorie applicabili entro il 2025. Tuttavia, il Data Governance Act stesso ha delegato a ciascun Stato membro il compito di adottare normative nazionali su aspetti specifici. Tra questi, vi è la designazione degli organismi competenti per assistere gli enti pubblici nel concedere o rifiutare l’accesso al riutilizzo dei dati, nonché l’individuazione dell’autorità responsabile per le procedure relative ai servizi di intermediazione dei dati.
Il Decreto di recepimento italiano ha demandato tali funzioni all’Agenzia per l’Italia digitale (AgID), che avrà il compito di gestire le procedure di notifica per i servizi di intermediazione dei dati e sarà responsabile della gestione di uno sportello unico per l’accesso e il riutilizzo dei dati, facilitando la comunicazione tra gli enti pubblici e gli utenti dei dati.
Nell’esecuzione di tali funzioni, l’AgID dovrà collaborare a stretto contatto con altre autorità come l’ACN (Agenzia per la cybersicurezza nazionale), l’AGCM (Autorità garante della concorrenza e del mercato) e il Garante Privacy, anche attraverso la stipula di accordi non onerosi che definiranno le modalità di coordinamento e le competenze specifiche, incluse le modalità di consultazione preventiva.
Da ultimo, il Decreto ha affidato all’AgID un ruolo cruciale nel monitoraggio e nell’applicazione delle regole introdotte dal Data Governance Act, definendo inoltre le sanzioni applicabili in caso di violazione. Ferme restando le sanzioni già previste dal GDPR e la competenza del Garante Privacy per le violazioni in materia di dati personali, il Decreto prevede che l’AgID possa imporre sanzioni amministrative pecuniarie in caso di violazione di vari obblighi del Data Governance Act, come quelli relativi al trasferimento di dati non personali verso Paesi terzi o agli obblighi di notifica per i fornitori di servizi di intermediazione dei dati. Queste sanzioni possono variare da un minimo di 10.000 euro fino a un massimo di 100.000 euro, oppure, per le imprese, fino al 6% del fatturato mondiale totale annuo dell’esercizio precedente.
Nel corso del procedimento sanzionatorio, regolato dal Codice dell’Amministrazione Digitale (CAD), l’AgID dovrà considerare diversi fattori, tra cui la natura, la gravità, l’entità e la durata della violazione, le azioni correttive intraprese, la reiterazione della violazione, i vantaggi finanziari ottenuti dalla violazione e altri fattori aggravanti o attenuanti.
Considerazioni finali
A seguito dell’entrata in vigore del Decreto di recepimento, il raggiungimento degli ambiziosi obiettivi del Data Governance Act verso la creazione di una data economy aperta e trasparente è ora strettamente legata all’attività dell’AgID, che dovrà adottare provvedimenti per facilitare e disciplinare tecnicamente e organizzativamente i meccanismi di condivisione dei dati, garantendone la massima sicurezza.
Elemento cruciale per una efficace implementazione della nuova normativa sarà la cooperazione con il Garante Privacy, per assicurare che la condivisione dei dati avvenga in modo sicuro e conforme al GDPR, evitando che dalle esperienze pratiche di intermediazione e altruismo dei dati emergano conflitti tra le due normative o divergenze tra le pratiche attuabili per i dati personali e i dati non personali.
Su un argomento simile può essere di interesse l’articolo “Il Consiglio UE adotta il Data Act: nuove disposizioni su accesso equo, utilizzo e condivisione dei dati“
