La Gazzetta Ufficiale n. 238 del 10 ottobre 2024 pubblica il Decreto Legislativo n. 144del 7 ottobre 2024, contenente le norme di adeguamento al Regolamento Europeo “DataGovernance Act” – DGA.Il DGA, in sintesi, si basa sul principio che i dati generati o raccolti da enti pubblicipossano apportare significativi benefici alla società se riutilizzati per finalità di interesse generale.
Per ottenere tali vantaggi, armonizza le condizioni per un “riutilizzo dei dati”, sia personali che non personali, in possesso di enti pubblici, da parte di persone fisiche o giuridiche, a fini commerciali o non commerciali, diversi dallo scopo iniziale, il servizio pubblico, per i quali i dati vengono prodotti. Il “riutilizzo dei dati” è riservato a “determinate categorie di dati” previste dal Regolamento stesso, e solo a determinate “condizioni e requisiti specifici”: trasparenza, non discriminazione, proporzionalità, rispetto della concorrenza, sicurezza dei dati nel riutilizzo, equità delle tariffe.
Il Regolamento non ha imposto alcun obbligo agli enti pubblici di permettere il riutilizzo dei dati, né ha escluso gli obblighi di riservatezza imposto dal GDPR e dalla normativa. Dal 25 ottobre prossimo, data di vigenza del Decreto si apre, in Italia, il mercato dei dati digitali per le imprese, che può suddividersi in due aree: una riguardante i dati acquisibili per riutilizzo direttamente dagli enti pubblici e una i dati condivisi tra aziende private attraverso intermediari. Intermediari che dovranno essere iscritti a un apposito registro informazioni.
La funzione di controllo è affidata all’ Agenzia per l’Italia Digitale – Agid. Non modificate le competente specifiche del Garante per il trattamento dei dati personali, dell’Autorità nazionale per la cybersicurezza, dell’ Autorità Garante della Concorrenza e del Mercato. Le quattro istituzioni dovranno, comunque, cooperare tra di loro, anche attraverso la stipula di accordi di collaborazione, definendo il coordinamento tra le rispettive competenze. L’Agid, deve agire in maniera imparziale, trasparente, coerente, affidabile e tempestiva, salvaguardando, la concorrenza e la non discriminazione. L’Agid funge da sportello nazionale per le richieste di riutilizzo di dati, per la trasmissione agli enti pubblici e quale l’organismo competente per l’assistenza tecnica alle amministrazioni.
All’Agenzia sono stati assegnati i compiti di vigilanza sia sulle organizzazioni per quello definito “altruismo di dati”, ovvero la condivisione volontaria, sulla base del consenso e senza alcun compenso, sia sugli intermediari che stabiliranno un rapporto commerciale tra il titolare dei dati e l’utilizzatore. In tale ambito ha compiti di monitoraggio e controllo della conformità dei “fornitori dei servizi di intermediazione dei dati” e delle “organizzazioni per l’altruismo dei dati”. L’Agid può concedere o rifiutare l’accesso al privato per l’utilizzo dei dati, in ogni caso dovrà comunicarlo all’interessato entro due mesi. Nel caso di informazioni commerciali riservate o tutelate da diritti di proprietà intellettuale, protezione dei dati personali non compresi nella direttiva (UE) 2019/1024relativa all’open data e al riutilizzo dell’informazione del settore pubblico, l’Agenzia deve anonimizzare i dati personali, oppure modificarli e aggregarli, o trattarli con altri metodi di controllo della divulgazione.
L’Agid, per la propria attività, può chiedere il pagamento di una compenso, nel limite dei costi necessari per la riproduzione e la fornitura dei dati o per garantire l’anonimizzazione. Le tariffe possono ridotte, anche azzerate, in caso di utilizzo non a fini commerciali, oppure con finalità di ricerca scientifica, o se richiesto da PMI e startup o istituti di istruzione. Le sanzioni, in caso di mancato rispetto delle regole del trasferimento dei dati a paesi terzio dell’obbligo di notifica per gli intermediari, sono essere comprese per i privati tra 10mila e 100mila euro, per le imprese fino al 6% del fatturato mondiale annuo. L’applicazione delle sanzioni è stabilito secondo la natura, la gravità, l’entità e la durata della violazione; le azioni di superamento dell’infrazione intraprese, la reiterazione della violazione, vantaggi finanziari ottenuti dalla violazione e da altri fattori aggravanti o attenuanti.
