Norme di adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2022/868, relativo alla governance europea dei dati

DECRETO LEGISLATIVO 7 ottobre 2024, n. 144

Norme di adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2022/868 del Parlamento europeo e del Consiglio, del 30 maggio 2022, relativo alla governance europea dei dati e che modifica il regolamento (UE) 2018/1724. (24G00167)

(G.U. n.238 del 10-10-2024)

Vigente al: 25-10-2024

IL PRESIDENTE DELLA REPUBBLICA

Visti gli articoli 76 e 87 della Costituzione;

Vista la legge 23 agosto 1988, n. 400, recante «Disciplina dell'attivita' di Governo e ordinamento della Presidenza del Consiglio dei ministri» e, in particolare, l'articolo 14;

Vista la legge 24 dicembre 2012, n. 234, recante «Norme generali sulla partecipazione dell'Italia alla formazione e all'attuazione della normativa e delle politiche dell'Unione europea»;

Vista la legge 21 febbraio 2024, n. 15, recante «Delega al Governo per il recepimento delle direttive europee e l'attuazione di altri atti normativi dell'Unione europea - Legge di delegazione europea 2022-2023» e, in particolare, l'articolo 17;

Visto il regolamento (UE) 2022/868 del Parlamento europeo e del Consiglio, del 30 maggio 2022, relativo alla governance europea dei dati e che modifica il regolamento (UE) 2018/1724;

Visto il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE;

Visto il regolamento (UE) 2018/1724 del Parlamento europeo e del Consiglio, del 2 ottobre 2018, che istituisce uno sportello digitale unico per l'accesso a informazioni, procedure e servizi di assistenza e di risoluzione dei problemi e che modifica il regolamento (UE) n. 1024/2012;

Visto il regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell'Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE;

Visto il regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, del 17 aprile 2019, relativo all'ENISA, l'Agenzia dell'Unione europea per la cibersicurezza, e alla certificazione della cibersicurezza per le tecnologie dell'informazione e della comunicazione, e che abroga il regolamento (UE) n. 526/2013;

Visto il decreto legislativo 30 giugno 2003, n. 196, recante «Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE»;

Visto il decreto legislativo 7 marzo 2005, n. 82, recante «Codice dell'amministrazione digitale»;

Visto il decreto legislativo 24 gennaio 2006, n. 36, recante «Attuazione della direttiva (UE) 2019/1024 relativa all'apertura dei dati e al riutilizzo dell'informazione del settore pubblico che ha abrogato la direttiva 2003/98/CE»;

Visto il decreto-legge 22 giugno 2012, n. 83, convertito, con modificazioni, dalla legge 7 agosto 2012, n. 134, recante «Misure urgenti per la crescita del Paese» e, in particolare, l'articolo 19, con cui e' stata istituita l'Agenzia per l'Italia digitale (AgID);

Visto il decreto legislativo 10 agosto 2018, n. 101, recante «Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE»;

Visto il decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, recante «Disposizioni urgenti in materia di cybersicurezza, definizione dell'architettura nazionale di cybersicurezza e istituzione dell'Agenzia per la cybersicurezza nazionale»;

Visto il decreto legislativo 3 agosto 2022, n. 123, recante «Norme di adeguamento della normativa nazionale alle disposizioni del Titolo III "Quadro di certificazione della cibersicurezza" del regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, del 17 aprile 2019 relativo all'ENISA, l'Agenzia dell'Unione europea per la cibersicurezza, e alla certificazione della cibersicurezza per le tecnologie dell'informazione e della comunicazione, e che abroga il regolamento (UE) n. 526/2013»;

Vista la preliminare deliberazione del Consiglio dei ministri, adottata nella riunione del 3 luglio 2024;

Acquisito il parere del Garante per la protezione dei dati personali del 12 settembre 2024;

Acquisito il parere dell'Agenzia per la cybersicurezza nazionale del 24 settembre 2024;

Acquisito il parere dell'Agenzia per l'Italia digitale del 26 settembre 2024;

Acquisiti i pareri delle competenti Commissioni della Camera dei deputati e del Senato della Repubblica;

Vista la deliberazione del Consiglio dei ministri, adottata nella riunione del 2 ottobre 2024;

Sulla proposta del Ministro per gli affari europei, il Sud, le politiche di coesione e il PNRR e del Ministro per la pubblica amministrazione;

Emana

il seguente decreto legislativo:

Art. 1
Oggetto e ambito di applicazione

1. Nel rispetto di quanto previsto dagli articoli 1 e 3 del regolamento (UE) 2022/868 del Parlamento europeo e del Consiglio, del 30 maggio 2022, di seguito denominato «regolamento», il presente decreto, in applicazione degli articoli 7, 13, 23 e 34 del medesimo regolamento, designa l'autorita' competente per i servizi di intermediazione dei dati e per la registrazione di organizzazioni per l'altruismo dei dati, nonche' gli organismi competenti per specifici settori che assistono gli enti pubblici che concedono o rifiutano l'accesso alle categorie di dati individuate dall'articolo 3 del regolamento, dettando la disciplina sanzionatoria per le violazioni del medesimo regolamento.

2. Restano ferme le disposizioni in materia di protezione dei dati personali e di controllo sul trattamento dei medesimi dati nonche' le competenze del Garante per la protezione dei dati personali, dell'Agenzia per la cybersicurezza nazionale e dell'Autorita' garante della concorrenza e del mercato previste a legislazione vigente.

Art. 2
Designazione dell'autorita' competente ai sensi degli articoli 13, 23 e 26 del regolamento (UE) 2022/868

1. In applicazione degli articoli 13, 23 e 26 del regolamento, l'Agenzia per l'Italia digitale, di seguito denominata «AgID», e' designata quale autorita' competente allo svolgimento dei compiti relativi alla procedura di notifica per i servizi di intermediazione dei dati, nonche' quale autorita' competente alla registrazione di organizzazioni per l'altruismo dei dati.

2. L'AgID svolge la propria attivita' in maniera imparziale, trasparente, coerente, affidabile e tempestiva, salvaguardando, nell'esercizio della propria attivita', la concorrenza leale e la non discriminazione e in conformita' agli ulteriori requisiti di cui all'articolo 26 del regolamento. L'AgID opera in stretta e leale cooperazione con l'Agenzia per la cybersicurezza nazionale, l'Autorita' garante della concorrenza e del mercato e il Garante per la protezione dei dati personali e, a tal fine, puo' stipulare con gli stessi specifici accordi di collaborazione non onerosi. Gli accordi definiscono le forme e i modi di esercizio del coordinamento, anche endoprocedimentale, delle competenze, nell'ambito delle rispettive attribuzioni di AgID, del Garante per la protezione dei dati personali, dell'Agenzia per la cybersicurezza nazionale e delle altre amministrazioni competenti, in relazione alla materia trattata. Nel rispetto del principio di leale collaborazione, gli accordi prevedono forme specifiche di consultazione del Garante per la protezione dei dati personali, ogniqualvolta il procedimento amministrativo realizzato da AgID abbia implicazioni in termini di protezione dei dati.

3. L'AgID, sentite l'Agenzia per la cybersicurezza nazionale, l'Autorita' garante della concorrenza e del mercato e il Garante per la protezione dei dati personali per gli aspetti di rispettiva competenza, stabilisce con proprio provvedimento ai sensi dell'articolo 16 del regolamento le disposizioni tecniche e organizzative per facilitare l'altruismo dei dati nonche' le informazioni necessarie che devono essere fornite agli interessati in merito al riutilizzo dei loro dati nell'interesse generale.

4. L'AgID provvede, in applicazione e secondo le modalita' di cui all'articolo 14 del regolamento, al monitoraggio e al controllo della conformita' dei fornitori dei servizi di intermediazione dei dati ai requisiti di cui al capo III del regolamento medesimo.

5. L'AgID provvede, altresi', in applicazione e secondo le modalita' di cui all'articolo 24 del regolamento, al monitoraggio e al controllo della conformita' alle prescrizioni di cui al capo IV del regolamento medesimo da parte delle organizzazioni riconosciute per l'altruismo dei dati.

Art. 3
Designazione dell'organismo competente e sportello unico ai sensi degli articoli 7 e 8 del regolamento (UE) 2022/868

1. L'AgID e' designata, ai sensi dell'articolo 7 del regolamento, quale organismo competente per assistere gli enti pubblici che concedono o rifiutano l'accesso al riutilizzo delle categorie di dati di cui all'articolo 3, paragrafo 1, del regolamento e per concedere l'accesso per il riutilizzo delle categorie di dati ai sensi dell'articolo 7, paragrafo 2, del medesimo regolamento.

2. Ai sensi dell'articolo 8 del regolamento, l'AgID e' designata quale sportello unico e provvede all'implementazione delle relative funzioni estendendo il punto d'accesso unico garantito dal catalogo nazionale dei dati aperti di cui all'articolo 9, comma 2, del decreto legislativo 24 gennaio 2006, n. 36.

Art. 4
Disciplina sanzionatoria ai sensi dell'articolo 34 del regolamento (UE) 2022/868

1. Ferma restando l'applicazione della disciplina in materia di protezione dei dati personali, salvo che il fatto costituisca reato, in caso di violazione degli obblighi in materia di trasferimento di dati non personali a Paesi terzi a norma dell'articolo 5, paragrafo 14, e dell'articolo 31 del regolamento, dell'obbligo di notifica per i fornitori di servizi di intermediazione dei dati a norma dell'articolo 11 del regolamento, delle condizioni per la fornitura di servizi di intermediazione dei dati a norma dell'articolo 12 del regolamento, delle condizioni per la registrazione come organizzazione per l'altruismo dei dati riconosciuta a norma degli articoli 18, 20, 21 e 22 del regolamento da parte dei fornitori di servizi di intermediazione dei dati e delle organizzazioni per l'altruismo dei dati, l'AgID adotta, all'esito della procedura di cui all'articolo 18-bis del codice dell'amministrazione digitale di cui al decreto legislativo 7 marzo 2005, n. 82, sanzioni amministrative pecuniarie da un minimo di euro 10.000 fino a un massimo di euro 100.000, ovvero, per le imprese, fino al 6per cento del fatturato mondiale totale annuo dell'esercizio precedente.

2. Le sanzioni per le violazioni di cui al comma 1 devono essere effettive, proporzionate e dissuasive e devono tenere conto dei seguenti criteri:

a) la natura, la gravita', l'entita' e la durata della violazione;

b) qualsiasi azione intrapresa dal fornitore di servizi di intermediazione dei dati o da un'organizzazione per l'altruismo dei dati riconosciuta al fine di attenuare il danno derivante dalla violazione o porvi rimedio;

c) qualsiasi precedente violazione da parte del fornitore di servizi di intermediazione dei dati o dell'organizzazione per l'altruismo dei dati riconosciuta;

d) i vantaggi finanziari ottenuti o le perdite evitate dal fornitore di servizi di intermediazione dei dati o da un'organizzazione per l'altruismo dei dati riconosciuta in ragione della violazione, nella misura in cui tali profitti o perdite possano essere determinati in modo attendibile;

e) eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso.

3. Fermi restando i criteri di cui al comma 2, l'AgID, con una o piu' determinazioni, da adottare entro trenta giorni dalla data di entrata in vigore del presente decreto, puo' specificare, laddove necessario, i criteri per la determinazione dell'importo delle sanzioni per le violazioni di cui al comma 1, adottando tutte le misure necessarie per assicurarne l'effettivita', la proporzionalita', la dissuasivita' e l'applicazione.

4. Si applica, per quanto non espressamente previsto dal presente articolo, la legge 24 novembre 1981, n. 689. I proventi delle sanzioni sono versati all'entrata del bilancio dello Stato per essere riassegnati allo stato di previsione della spesa del Ministero dell'economia e delle finanze e destinati per il 50 per cento all'AgID e per la restante parte al Fondo di cui all'articolo 239 del decreto-legge 19 maggio 2020, n. 34, convertito, con modificazioni, dalla legge 17 luglio 2020, n. 77.

Art. 5
Clausola di invarianza finanziaria

1. Dall'attuazione del presente decreto non devono derivare nuovi o maggiori oneri a carico della finanza pubblica.

2. Le amministrazioni interessate provvedono all'attuazione delle disposizioni di cui al presente decreto nei limiti delle risorse umane, strumentali e finanziarie disponibili a legislazione vigente.

Il presente decreto, munito del sigillo dello Stato, sara' inserito nella Raccolta ufficiale degli atti normativi della Repubblica italiana. E' fatto obbligo a chiunque spetti di osservarlo e di farlo osservare.

Dato a Roma, addi' 7 ottobre 2024

MATTARELLA

Meloni, Presidente del Consiglio dei ministri

Fitto, Ministro per gli affari

europei, il Sud, le politiche di coesione e il PNRR

Zangrillo, Ministro per la pubblica amministrazione

Visto, il Guardasigilli: Nordio