Approda in Gazzetta il Data Governance Act
Il Decreto Legislativo n. 144 del 7 ottobre 2024, che allinea la legislazione nazionale al Regolamento (UE) 2022/868 del 30 maggio 2022, conosciuto come Data Governance Act, è stato ufficialmente pubblicato sulla Gazzetta Ufficiale il 10 ottobre 2024
Il Data Governance Act regola la gestione dei dati a livello europeo, con l'intento di guidare il riutilizzo dei dati sia pubblici che protetti. Tale normativa mira a incentivare la condivisione dei dati tramite nuovi intermediari e a promuovere iniziative di carattere altruistico.
L'articolo 2 del decreto designa l'Agenzia per l'Italia Digitale (AgiD) come l'ente competente per la mediazione dei dati e stabilisce le sanzioni per eventuali violazioni del Regolamento (UE) 2022/868. Questo decreto specifica che l'AgiD deve operare in modo equo, trasparente, coerente, affidabile e tempestivo nel suo ruolo di mediazione dati, garantendo la concorrenza leale e la non discriminazione, in linea con le prescrizioni dell'articolo 26 del Regolamento.
L'AgiD è tenuta a collaborare strettamente con l'Agenzia per la cybersicurezza nazionale, l'Autorità garante della concorrenza e del mercato e il Garante per la protezione dei dati personali, potendo stipulare accordi di collaborazione non a pagamento con queste entità. Tra i compiti dell'AgiD vi è l'emanazione di disposizioni tecniche e organizzative per agevolare l'approccio altruista ai dati e fornire informazioni ai titolari sul riutilizzo dei loro dati.
Inoltre, l'AgiD monitorerà la conformità dei fornitori di servizi di mediazione ai requisiti del Regolamento, controllerà che le organizzazioni per l'approccio altruista ai dati seguano le prescrizioni normative, assisterà gli enti pubblici nella gestione dell'accesso e garanzia per il riutilizzo dei dati. L'AgiD fungerà da sportello unico, ampliando le funzioni del punto d'accesso offerto dal catalogo nazionale dei dati aperti.
Il decreto stabilisce specifiche violazioni che permettono all'Agenzia per l'Italia Digitale di infliggere sanzioni amministrative, tra cui trasferimenti non autorizzati di dati a paesi terzi, mancata notifica dei fornitori di servizi di mediazione dati, infrazioni alle condizioni per la fornitura di tali servizi e reintroduzione nei registri come organizzazione per l'approccio altruista ai dati. Le sanzioni pecuniarie possono variare da 10.000 a 100.000 euro o, per le imprese, fino al 6% del fatturato mondiale annuo dell'anno precedente, devono essere efficaci, proporzionate e dissuasive, considerando vari parametri come la gravità e la durata dell'infrazione, i provvedimenti attuati per mitigare i danno, eventuali precedenti violazioni, benefici finanziari ottenuti e altre circostanze rilevanti (d.lgs. n. 144/2024).