Data Governance Act, verso una società data-driven: ecco le novità

Il Regolamento 2022/868 sulla governance dei dati (meglio noto come Data Governance Act), entrato in vigore il 23 giugno 2022 e pienamente applicabile dal 24 settembre 2023, si inserisce all’interno della strategia europea in materia di dati, della quale sono parte integrante anche ulteriori normative (ossia, il Digital Services Act, il Digital Markets Act e il Data Act).

I tre pilastri del Data Governance Act

All’art. 1, il DGA stabilisce:

1. le condizioni per il riutilizzo, all’interno dell’Unione, di determinate categorie di dati detenute da enti pubblici (si tratta di dati protetti per motivi di riservatezza commerciale (es. segreti commerciali, professionali, d’impresa), riservatezza statistica, protezione di diritti di proprietà intellettuale di terzi, protezione dei dati personali nella misura in cui tali dati non rientrano nell’ambito di applicazione della direttiva (UE) 2019/1024);
2. un quadro di notifica e controllo per la fornitura di servizi di intermediazione dei dati;
3. un quadro per la registrazione volontaria delle entità che raccolgono e trattano i dati messi a disposizione a fini altruistici.

Questi sono i tre pilastri fondamentali su cui si basa il DGA.

A chi si applica il DGA

Dunque, il DGA si applica a:

1. enti pubblici detentori di dati (personali e non personali) che possono concederne il riutilizzo;
2. fornitori del servizio di intermediazione di dati (c.d. intermediari di dati);
3. organizzazioni per l’altruismo dei dati riconosciute nell’Unione, ossia entità che raccolgono e mettono a disposizione i dati volontariamente forniti da individui o aziende per finalità di benessere collettivo (c.d. altruismo dei dati). 

Tale Regolamento non si applica, invece, a:

• ai dati detenuti da imprese pubbliche;
• ai dati detenuti da emittenti di servizio pubblico e loro controllate e altri enti che operano nel servizio pubblico radiotelevisivo;
• ai dati detenuti da istituzioni culturali e istituti di istruzione (biblioteche, archivi e musei, orchestre, opere liriche, balletti e teatri, e da istituti di istruzione) perché “le opere e gli altri documenti in loro possesso sono prevalentemente coperti da diritti di proprietà intellettuale di terzi”;
• ai dati detenuti da enti del settore pubblico protetti per motivi di pubblica sicurezza, difesa o sicurezza nazionale.

Obblighi derivanti dal DGA

Sono diversi gli obblighi previsti dal DGA in capo ai soggetti rientranti nel suo campo di applicazione. Di seguito, una breve sintesi degli stessi.

Gli enti pubblici detentori di dati che ne consentono il riutilizzo devono rispettare le condizioni previste per il riutilizzo ex art. 5 DGA, le quali sono le seguenti:

• consentire il riutilizzo solo se i dati personali sono stati anonimizzati, mentre se si tratta di dati non personali, essi devono essere stati modificati o aggregati o trattati mediante qualsiasi altro metodo di controllo della divulgazione;
• i dati oggetto di riutilizzo devono essere accessibili da remoto in un ambiente di trattamento sicuro e controllato dall’ente pubblico o accessibili all’interno di locali fisici sicuri, rispettosi di rigorose norme di sicurezza;
• gli enti pubblici detentori di dati protetti devono adottare una decisione sulla richiesta di riutilizzo entro 2 mesi dal ricevimento della stessa. In caso di richieste eccezionalmente cospicue e complesse per il riutilizzo, tale periodo di due mesi può essere prorogato al massimo di 30 giorni (art. 9 DGA).

Gli intermediari di dati devono rispettare le condizioni per la fornitura dei servizi di intermediazione dei dati ex art. 12 DGA:

• non utilizzare i dati trattati nell’ambito del servizio di intermediazione per scopi diversi dalla loro messa a disposizione;
• garantire equità nella determinazione dei prezzi per l’offerta del servizio, art. 12 lett. f) DGA).

Invece, relativamente alle organizzazioni riconosciute per l’altruismo dei dati, per poter essere iscritte nel relativo registro pubblico nazionale ex art. 18 DGA, le entità devono:

• svolgere attività di altruismo dei dati;
• essere una persona giuridica costituita per conseguire obiettivi di interesse generale;
• operare senza scopo di lucro;
• tenere registri completi e accurati con informazioni importanti concernenti l’attività di altruismo dei dati (art. 20 DGA);
• adempiere all’obbligo di informare gli interessati in merito agli obiettivi di interesse generale per cui i loro dati sono trattati (art. 21 DSA).

Il DGA in Italia: il ruolo dell’AgID

Il 3 luglio 2024 è stato approvato in via preliminare lo Schema di D.lgs. di adeguamento della normativa nazionale alle disposizioni del Data Governance Act, in attuazione della delega contenuta nell’articolo 17 della Legge 21 febbraio 2024, n. 15.

Tra le novità più interessanti si segnala la designazione dell’Agenzia per l’Italia Digitale (AgID) come autorità competente per: lo svolgimento dei compiti relativi alla procedura di notifica[1] per i servizi di intermediazione dati; la registrazione di organizzazioni per l’altruismo dei dati; l’assistenza agli enti pubblici che concedono o rifiutano l’accesso al riutilizzo di specifiche categorie di dati; per concedere l’accesso per il riutilizzo delle categorie dei dati protetti; per l’implementazione delle funzioni previste per lo “sportello unico”, estendendo il punto d’accesso garantito dal catalogo nazionale dei dati aperti per facilitare l’accesso ai dati da parte delle imprese e della società civile.

Inoltre, all’AgID è attribuito il compito di adottare disposizioni tecniche e organizzative per facilitare l’altruismo dei dati e stabilire le informazioni necessarie da dare agli interessati sul riutilizzo dei loro dati.

L’AgID opera in stretta e leale cooperazione con l’Agenzia per la cybersicurezza nazionale, l’Autorità garante della concorrenza e del mercato e il Garante per la protezione dei dati personali e, a tal fine, può stipulare con gli stessi specifici accordi di collaborazione non onerosi.

Infine, è stato introdotto un sistema sanzionatorio amministrativo per le violazioni degli obblighi del DGA con sanzioni pecuniarie da 10.000 a 100.000 euro oppure fino al 6% del fatturato mondiale totale annuo dell’esercizio precedente[2].

Conclusioni

Il Data Governance Act rappresenta un passo in avanti fondamentale verso la promozione della disponibilità dei dati, personali e non personali, e della loro condivisione, sostenendo la creazione e lo sviluppo di spazi comuni di dati europei in ambiti strategici (salute, ambiente, energia, agricoltura, mobilità, finanza, produzione, pubblica amministrazione); il tutto, con la partecipazione di attori pubblici e privati di primaria importanza.

Questa normativa, caratterizzata dall’ambizioso obiettivo di incrementare la fiducia nello scambio dei dati, aumentando la disponibilità dei dati e cercando di superare gli ostacoli tecnici al loro riutilizzo, è fondamentale per porre le basi di una società data driven innovativa e dinamica.

Note

[1] La fornitura di alcuni dei servizi di intermediazione dei dati è soggetta a obbligo di notifica ex artt. 10 e 11 DGA.

[2] Art. 34 DGA: gli Stati membri stabiliscono le norme relative alle sanzioni da applicare in caso di violazione degli obblighi previsti dal DGA. Nel determinare le sanzioni, gli Stati membri tengono conto delle raccomandazioni del Comitato europeo per l’innovazione in materia di dati, istituito dal DGA.