Data Governance Act: in Gazzetta Ufficiale il D.Lgs. 144/2024.
Il 7 ottobre 2024 è stato pubblicato in Gazzetta Ufficiale il Decreto Legislativo 144/2024 tramite il quale l’Italia dà piena attuazione al Regolamento Europeo 2022/868 sulla governance dei dati (o “Data Governance Act”), approvato in data 30 maggio 2022 e pienamente valido e già applicabile – anche in Italia – sin dal 24 settembre 2023.
Prima di analizzare le ultime novità del Decreto Legislativo 144/2024, risulta utile analizzare le disposizioni del Data Governance Act.
1. Il Data Governance Act
Tramite il Regolamento 2022/868 (nel seguito “Data Governance Act” o “DGA”), il legislatore europeo si prefigge l’ambizioso obiettivo di istituire spazi comunitari condivisi per lo scambio dei dati, animato dalla convinzione che la condivisione delle informazioni sia un fattore fondamentale per lo sviluppo di settori strategici quali la sanità, la mobilità, l’industria manifatturiera, i servizi finanziari, l’energia o l’agricoltura, l’energia e il clima.
La normativa in esame si basa sull’assunto che la competizione tra le imprese nel mercato europeo debba avvenire sulla qualità dei servizi, non sulla quantità dei dati che controllano, e che i dati generati o raccolti dagli enti pubblici possano apportare significativi benefici alla società ampiamente intesa, ove riutilizzati per finalità di interesse generale.
Tali spazi comuni europei di dati, per raggiungere la propria finalità, devono essere in grado di rendere i dati reperibili, accessibili, interoperabili e riutilizzabili, garantendo, allo stesso tempo, un elevato livello di cibersicurezza e di tutela dei dati personali protetti dal GDPR.
Il DGA si basa sui tre pilastri fondamentali che seguono.
A) Riutilizzo dei dati pubblici: gli enti pubblici hanno la facoltà (non l’obbligo) di “riutilizzare” i dati pubblici protetti che detengono, mettendoli a disposizione dei richiedenti, purché:
- sia garantita la natura protetta di tali dati e dunque vengano anonimizzati in caso di dati personali o aggregati in caso rappresentino informazioni commerciali riservate;
- il riutilizzo avvenga all’interno di uno spazio sicuro e controllato dall’ente pubblico.
L’ente pubblico avrà altresì la facoltà di valorizzare il proprio patrimonio di dati imponendo tariffe – purché trasparenti, non discriminatorie, proporzionate e oggettivamente giustificate – per il riutilizzo dei dati messi a disposizione.
B) Servizi di intermediazione: il DGA regola le condizioni affinché un soggetto possa offrire servizi strumentali alla condivisione dei dati tra un numero indeterminato di interessati e di titolari dei dati, da un lato, e gli utenti dei dati, dall’altro, necessari per realizzare gli obiettivi del regolamento.
Affinché un soggetto possa offrire tali servizi, è tenuto a rispettare tutti i requisiti richiesti dal DGA e ad effettuare la notifica all’autorità competente di cui all’art. 11 del Regolamento.
C) Altruismo dei dati: il DGA prevede inoltre che gli interessati possano volontariamente mettere a disposizione i propri dati, per obiettivi di interesse generale – quali l’assistenza sanitaria, la lotta ai cambiamenti climatici, il miglioramento della mobilità, la ricerca scientifica, ecc. – senza percepire alcun compenso che vada oltre la compensazione dei costi sostenuti. Tale condivisione altruistica può essere perseguita anche tramite organizzazioni per l’altruismo dei dati per le quali il regolamento prevede caratteristiche e requisiti (in primis l’assenza di scopo di lucro e l’indipendenza).
A tal fine gli stati membri possono adottare disposizioni volte a facilitare l’altruismo dei dati e sono tenuti ad istituire un registro pubblico delle organizzazioni per l’altruismo dei dati.
2. Il Decreto Legislativo 144/2024
Al fine di dare piena attuazione al Data Governance Act, l’Italia ha adottato il D.Lgs. 7 ottobre 2024, n. 144,tramite il quale individua come autorità centrale per l’implementazione di tutto l’impianto normativo sin qui descritto l’AgID (Agenzia per Italia Digitale), la quale sarà tenuta ad operare in stretta cooperazione con l’ACN (Agenzia per la cybersicurezza nazionale), con l’AGCM (Autorità garante della concorrenza e del mercato), nonché con il Garante Privacy.
In particolare, l’AgID è:
- designata come autorità competente per assistere gli enti pubblici che intendono riutilizzare i dati;
- designata come autorità competente per lo svolgimento dei compiti relativi alla procedura di notifica per i servizi di intermediazione dati e come autorità competente per la registrazione delle organizzazioni per l’altruismo dei dati;
- tenuta a stabilire le disposizioni tecniche e organizzative per facilitare l’altruismo dei dati.
Inoltre, all’AgID è attribuito il potere sanzionatorio relativamente alle violazioni degli obblighi stabiliti dal Data Governance Act, quali la violazione dell’obbligo di notifica, la violazione delle condizioni per la registrazione delle organizzazioni per l’altruismo dei dati e la violazione degli obblighi in materia di trasferimento di dati non personali.
Nonostante l’approvazione del decreto attuativo, sembra che il percorso per la concreta implementazione del Regolamento a livello comunitario, che consenta effettivamente di avere una proficua condivisione di dati tra enti pubblici ed aziende nei settori strategici, sia ancora lungo, sebbene senz’altro stimolante. In tal senso, il prossimo passo verso cui prestare attenzione sarà l’adozione da parte dell’AgID di un provvedimento nel quale, ai sensi dell’art. 16 del DGA, stabilirà le disposizioni tecniche e organizzative per facilitare l’altruismo dei dati.
Lo studio è a disposizione per qualsiasi chiarimento.