Data Governance Act: AgID designata Autorità responsabile

Il Consiglio dei Ministri del 3 luglio 2024 ha approvato, in esame preliminare, il decreto legislativo che provvede ad adeguare la normativa nazionale alle disposizioni del regolamento (UE) 2022/868 del Parlamento europeo e del Consiglio, del 30 maggio 2022, relativo alla governance europea dei dati e che modifica il regolamento (UE) 2018/1724.

La Commissione europea, lo scorso 23 maggio, aveva inviato una lettera di costituzione in mora ai 18 Stati membri che non avevano ancora provveduto agli adempimenti previsti dal Regolamento (Belgio, Cechia, Germania, Estonia, Grecia, Francia, Cipro, Lettonia, Malta, Austria, Polonia, Portogallo, Romania, Slovenia, Slovacchia e Svezia). Una volta definitivamente approvato, il decreto dovrà essere dal Governo comunicato alla Commissione europea.

La delega al Governo, contenuta all’articolo 17 della legge 21 febbraio 2024, n. 15, fissava principi e criteri direttivi specifici:

• per la nomina di una o più autorità competenti che dovranno operare in coordinamento tra loro e con le altre amministrazioni competenti;
• per facilitare l’altruismo dei dati con disposizioni organizzative e tecniche e garantire, in  conformità alla normativa in materia di protezione dei dati personali, i presupposti di liceità per la trasmissione di dati personali a terzi;
• per adeguare il sistema sanzionatorio, penale e amministrativo, vigente con previsione di sanzioni efficaci, dissuasive e proporzionate alla gravità della violazione.

Il nuovo decreto legislativo, che continueremo ad approfondire in seguito, designa l’Agenzia per l’Italia Digitale (AgID) quale autorità responsabile per lo svolgimento dei compiti relativi alla procedura di notifica dei soggetti che intendono offrire servizi di scambio di dati e alla successiva comunicazione alla Commissione europea; dovrà altresì assicurare il rispetto, da parte dell’intermediario, delle condizioni per la fornitura dei servizi compresa l’erogazione delle sanzioni.

Sempre AgID è indicata quale autorità competente a tenere il registro delle organizzazioni di data altruism[1], monitorarne le attività e ad assistere gli enti pubblici che concedono o rifiutano l’accesso al riutilizzo di specifiche categorie di dati; dovrà anche provvedere all’implementazione delle funzioni previste per lo “sportello unico” estendendo il punto d’accesso garantito dal catalogo nazionale dei dati aperti, al fine di facilitare l’accesso ai dati da parte delle imprese e della società civile, al fine di promuovere innovazione e crescita.

Tutti compiti che AgID deve assicurare in maniera imparziale, trasparente, coerente, affidabile e tempestiva, salvaguardando la concorrenza leale e la non discriminazione. Compiti che dovranno essere svolti in stretta e leale cooperazione con le altre autorità nazionali competenti e in particolare con l’Autorità garante per la protezione dei dati personali, l’Agenzia per la cybersicurezza nazionale e l’Autorità garante della concorrenza e del mercato. Il coordinamento e la collaborazione tra le amministrazioni competenti, o comunque coinvolte nei processi, assicurando sempre sicurezza.

Contributo alla Rubrica “Appunti di Privacy”: notizie, spunti di riflessione, brevi commenti, chiarimenti sui principali temi di attualità sul tema della tutela dei dati personali. A cura di Patrizia Cardillo, Esperta di Protezione dati personali, in collaborazione con FPA.

[1] L’espressione “altruismo dei dati” nel DGA fa riferimento all’uso dei dati personali messi a disposizione, a titolo gratuito, dagli interessati su base volontaria per essere utilizzati a scopi d’interesse generale (scopi scientifici, di ricerca o di miglioramento dei servizi pubblici). Per poter raccogliere dati per scopi altruistici un’organizzazione deve: essere costituita per soddisfare obiettivi di interesse generale; operare senza scopo di lucro ed essere indipendente da qualsiasi entità che operi a tale scopo; garantire che le attività relative “all’altruismo dei dati” si svolgano attraverso una struttura giuridicamente indipendente, separata dalle altre attività che abbia eventualmente intrapreso.