| Gazzetta n. 238 del 10 ottobre 2024 (vai al sommario) |
| |
| DECRETO LEGISLATIVO 7 ottobre 2024, n. 144 |
| Norme di adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2022/868 del Parlamento europeo e del Consiglio, del 30 maggio 2022, relativo alla governance europea dei dati e che modifica il regolamento (UE) 2018/1724. |
|
|
IL PRESIDENTE DELLA REPUBBLICA
Visti gli articoli 76 e 87 della Costituzione;
Vista la legge 23 agosto 1988, n. 400, recante «Disciplina dell'attivita' di Governo e ordinamento della Presidenza del Consiglio dei ministri» e, in particolare, l'articolo 14;
Vista la legge 24 dicembre 2012, n. 234, recante «Norme generali sulla partecipazione dell'Italia alla formazione e all'attuazione della normativa e delle politiche dell'Unione europea»;
Vista la legge 21 febbraio 2024, n. 15, recante «Delega al Governo per il recepimento delle direttive europee e l'attuazione di altri atti normativi dell'Unione europea - Legge di delegazione europea 2022-2023» e, in particolare, l'articolo 17;
Visto il regolamento (UE) 2022/868 del Parlamento europeo e del Consiglio, del 30 maggio 2022, relativo alla governance europea dei dati e che modifica il regolamento (UE) 2018/1724;
Visto il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE;
Visto il regolamento (UE) 2018/1724 del Parlamento europeo e del Consiglio, del 2 ottobre 2018, che istituisce uno sportello digitale unico per l'accesso a informazioni, procedure e servizi di assistenza e di risoluzione dei problemi e che modifica il regolamento (UE) n. 1024/2012;
Visto il regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell'Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE;
Visto il regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, del 17 aprile 2019, relativo all'ENISA, l'Agenzia dell'Unione europea per la cibersicurezza, e alla certificazione della cibersicurezza per le tecnologie dell'informazione e della comunicazione, e che abroga il regolamento (UE) n. 526/2013;
Visto il decreto legislativo 30 giugno 2003, n. 196, recante «Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE»;
Visto il decreto legislativo 7 marzo 2005, n. 82, recante «Codice dell'amministrazione digitale»;
Visto il decreto legislativo 24 gennaio 2006, n. 36, recante «Attuazione della direttiva (UE) 2019/1024 relativa all'apertura dei dati e al riutilizzo dell'informazione del settore pubblico che ha abrogato la direttiva 2003/98/CE»;
Visto il decreto-legge 22 giugno 2012, n. 83, convertito, con modificazioni, dalla legge 7 agosto 2012, n. 134, recante «Misure urgenti per la crescita del Paese» e, in particolare, l'articolo 19, con cui e' stata istituita l'Agenzia per l'Italia digitale (AgID);
Visto il decreto legislativo 10 agosto 2018, n. 101, recante «Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE»;
Visto il decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, recante «Disposizioni urgenti in materia di cybersicurezza, definizione dell'architettura nazionale di cybersicurezza e istituzione dell'Agenzia per la cybersicurezza nazionale»;
Visto il decreto legislativo 3 agosto 2022, n. 123, recante «Norme di adeguamento della normativa nazionale alle disposizioni del Titolo III "Quadro di certificazione della cibersicurezza" del regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, del 17 aprile 2019 relativo all'ENISA, l'Agenzia dell'Unione europea per la cibersicurezza, e alla certificazione della cibersicurezza per le tecnologie dell'informazione e della comunicazione, e che abroga il regolamento (UE) n. 526/2013»;
Vista la preliminare deliberazione del Consiglio dei ministri, adottata nella riunione del 3 luglio 2024;
Acquisito il parere del Garante per la protezione dei dati personali del 12 settembre 2024;
Acquisito il parere dell'Agenzia per la cybersicurezza nazionale del 24 settembre 2024;
Acquisito il parere dell'Agenzia per l'Italia digitale del 26 settembre 2024;
Acquisiti i pareri delle competenti Commissioni della Camera dei deputati e del Senato della Repubblica;
Vista la deliberazione del Consiglio dei ministri, adottata nella riunione del 2 ottobre 2024;
Sulla proposta del Ministro per gli affari europei, il Sud, le politiche di coesione e il PNRR e del Ministro per la pubblica amministrazione;
Emana
il seguente decreto legislativo:
Art. 1
Oggetto e ambito di applicazione
1. Nel rispetto di quanto previsto dagli articoli 1 e 3 del regolamento (UE) 2022/868 del Parlamento europeo e del Consiglio, del 30 maggio 2022, di seguito denominato «regolamento», il presente decreto, in applicazione degli articoli 7, 13, 23 e 34 del medesimo regolamento, designa l'autorita' competente per i servizi di intermediazione dei dati e per la registrazione di organizzazioni per l'altruismo dei dati, nonche' gli organismi competenti per specifici settori che assistono gli enti pubblici che concedono o rifiutano l'accesso alle categorie di dati individuate dall'articolo 3 del regolamento, dettando la disciplina sanzionatoria per le violazioni del medesimo regolamento.
2. Restano ferme le disposizioni in materia di protezione dei dati personali e di controllo sul trattamento dei medesimi dati nonche' le competenze del Garante per la protezione dei dati personali, dell'Agenzia per la cybersicurezza nazionale e dell'Autorita' garante della concorrenza e del mercato previste a legislazione vigente.
NOTE
Avvertenza:
Il testo delle note qui pubblicato e' stato redatto
dall'amministrazione competente per materia, ai sensi
dell'art. 10, comma 3, del testo unico delle disposizioni
sulla promulgazione delle leggi, sull'emanazione dei
decreti del Presidente della Repubblica e sulle
pubblicazioni ufficiali della Repubblica italiana,
approvato con D.P.R. 28 dicembre 1985, n. 1092, al solo
fine di facilitare la lettura delle disposizioni di legge,
alle quali e' operato il rinvio. Restano invariati il
valore e l'efficacia degli atti legislativi qui trascritti.
Per le direttive CEE vengono forniti gli estremi di
pubblicazione nella Gazzetta Ufficiale delle Comunita'
europee (GUUE).
Note alle premesse:
- L'art. 76. della Costituzione stabilisce che
l'esercizio della funzione legislativa non puo' essere
delegato al Governo se non con determinazione di principi e
criteri direttivi e soltanto per tempo limitato e per
oggetti definiti.
- L'art. 87 della Costituzione conferisce, tra l'altro,
al Presidente della Repubblica il potere di promulgare le
leggi ed emanare i decreti aventi valore di legge e i
regolamenti.
- Si riporta il testo dell'art. 14 della legge 23
agosto 1988, n. 400, recante: «Disciplina dell'attivita' di
Governo e ordinamento della Presidenza del Consiglio dei
ministri», pubblicata nella Gazzetta Ufficiale n. 214 del
12 settembre 1988, S.O. n. 86:
«Art. 14 (Decreti legislativi). - 1. I decreti
legislativi adottati dal Governo ai sensi dell'articolo 76
della Costituzione sono emanati dal Presidente della
Repubblica con la denominazione di "decreto legislativo" e
con l'indicazione, nel preambolo, della legge di
delegazione, della deliberazione del Consiglio dei ministri
e degli altri adempimenti del procedimento prescritti dalla
legge di delegazione.
2. L'emanazione del decreto legislativo deve avvenire
entro il termine fissato dalla legge di delegazione; il
testo del decreto legislativo adottato dal Governo e'
trasmesso al Presidente della Repubblica, per la
emanazione, almeno venti giorni prima della scadenza.
3. Se la delega legislativa si riferisce ad una
pluralita' di oggetti distinti suscettibili di separata
disciplina, il Governo puo' esercitarla mediante piu' atti
successivi per uno o piu' degli oggetti predetti. In
relazione al termine finale stabilito dalla legge di
delegazione, il Governo informa periodicamente le Camere
sui criteri che segue nell'organizzazione dell'esercizio
della delega.
4. In ogni caso, qualora il termine previsto per
l'esercizio della delega ecceda in due anni, il Governo e'
tenuto a richiedere il parere delle Camere sugli schemi dei
decreti delegati. Il parere e' espresso dalle Commissioni
permanenti delle due Camere competenti per materia entro
sessanta giorni, indicando specificamente le eventuali
disposizioni non ritenute corrispondenti alle direttive
della legge di delegazione. Il Governo, nei trenta giorni
successivi, esaminato il parere, ritrasmette, con le sue
osservazioni e con eventuali modificazioni, i testi alle
Commissioni per il parere definitivo che deve essere
espresso entro trenta giorni.».
- La legge 24 dicembre 2012, n. 234, recante: «Norme
generali sulla partecipazione dell'Italia alla formazione e
all'attuazione della normativa e delle politiche
dell'Unione europea», e' pubblicata nella Gazzetta
Ufficiale n. 3 del 4 gennaio 2013.
- Si riporta il testo dell'art. 17 della legge 21
febbraio 2024, n. 15, recante: «Delega al Governo per il
recepimento delle direttive europee e l'attuazione di altri
atti normativi dell'Unione europea - Legge di delegazione
europea 2022-2023», pubblicata nella Gazzetta Ufficiale n.
46 del 24 febbraio 2024:
«Art. 17 (Delega al Governo per l'adeguamento della
normativa nazionale alle disposizioni del regolamento (UE)
2022/868, relativo alla governance europea dei dati e che
modifica il regolamento (UE) 2018/1724). - 1. Il Governo e'
delegato ad adottare, entro quattro mesi dalla data di
entrata in vigore della presente legge, con le procedure di
cui all'articolo 31 della legge 24 dicembre 2012, n. 234,
acquisito il parere del Garante per la protezione dei dati
personali, dell'Agenzia per la cybersicurezza nazionale e
dell'Agenzia per l'Italia digitale, uno o piu' decreti
legislativi al fine di adeguare la normativa nazionale alle
disposizioni del regolamento (UE) 2022/868 del Parlamento
europeo e del Consiglio, del 30 maggio 2022.
2. Nell'esercizio della delega di cui al comma 1, il
Governo e' tenuto a seguire, oltre ai principi e criteri
direttivi generali di cui all'articolo 32 della legge 24
dicembre 2012, n. 234, anche i seguenti principi e criteri
direttivi specifici:
a) designare una o piu' autorita', per i profili di
competenza, quali autorita' competenti ai sensi degli
articoli 13 e 23 del regolamento (UE) 2022/868, attribuendo
a ciascuna le relative funzioni nel rispetto dei requisiti
di cui all'articolo 26 e fermo restando il rispetto
dell'articolo 1, paragrafo 3, del medesimo regolamento
(UE);
b) definire le procedure per il coordinamento delle
competenze delle autorita' designate e delle altre
amministrazioni competenti, nell'ambito delle rispettive
attribuzioni, in relazione alla materia trattata, nel
rispetto del principio di leale collaborazione;
c) introdurre disposizioni organizzative e tecniche
ai sensi dell'articolo 16 del regolamento (UE) 2022/868,
per facilitare l'altruismo dei dati, come definito ai sensi
dell'articolo 2, numero 16), del medesimo regolamento (UE),
stabilendo altresi' le informazioni necessarie che devono
essere fornite agli interessati in merito al riutilizzo dei
loro dati nell'interesse generale;
d) designare gli organismi competenti di cui
all'articolo 7 del regolamento (UE) 2022/868, anche
avvalendosi di enti pubblici esistenti o di servizi interni
di enti pubblici che soddisfino le condizioni stabilite dal
medesimo regolamento (UE);
e) garantire, conformemente alla normativa in
materia di protezione dei dati personali, i presupposti di
liceita' per la trasmissione di dati personali a terzi, ai
fini del riutilizzo di cui all'articolo 5, sulla base di
quanto disposto dall'articolo 1, paragrafo 3, del
regolamento (UE) 2022/868;
f) adeguare il sistema sanzionatorio penale e
amministrativo vigente alle disposizioni del regolamento
(UE) 2022/868, con previsione di sanzioni efficaci,
dissuasive e proporzionate alla gravita' della violazione
delle disposizioni stesse, nel rispetto dei criteri di cui
all'articolo 34 del regolamento (UE) 2022/868;
g) adeguare il vigente sistema delle tutele
amministrativa e giurisdizionale alle fattispecie previste
dagli articoli 9, paragrafo 2, 27 e 28 del regolamento (UE)
2022/868.
3. Dall'attuazione del presente articolo non devono
derivare nuovi o maggiori oneri a carico della finanza
pubblica. Le amministrazioni competenti provvedono
all'adempimento dei compiti derivanti dall'esercizio della
delega di cui al presente articolo con le risorse umane,
strumentali e finanziarie disponibili a legislazione
vigente.».
- Il regolamento (UE) 2022/868 del Parlamento europeo e
del Consiglio, del 30 maggio 2022, recante Regolamento del
Parlamento Europeo e del Consiglio relativo alla governance
europea dei dati e che modifica il regolamento (UE)
2018/1724 (Regolamento sulla governance dei dati) e'
pubblicato nella G.U.U.E. 3 giugno 2022, n. 152, serie L.
- Il regolamento (UE) 2016/679 del Parlamento europeo e
del Consiglio, del 27 aprile 2016, relativo alla protezione
delle persone fisiche con riguardo al trattamento dei dati
personali, nonche' alla libera circolazione di tali dati e
che abroga la direttiva 95/46/CE e' pubblicato nella
G.U.U.E. 4 maggio 2016, n. 119, serie L.
- Il regolamento (UE) 2018/1724 del Parlamento europeo
e del Consiglio, del 2 ottobre 2018, che istituisce uno
sportello digitale unico per l'accesso a informazioni,
procedure e servizi di assistenza e di risoluzione dei
problemi e che modifica il regolamento (UE) n. 1024/2012 e'
pubblicato nella G.U.U.E. 21 novembre 2018, n. 295, serie
L.
- Il regolamento (UE) 2018/1725 del Parlamento europeo
e del Consiglio, del 23 ottobre 2018, sulla tutela delle
persone fisiche in relazione al trattamento dei dati
personali da parte delle istituzioni, degli organi e degli
organismi dell'Unione e sulla libera circolazione di tali
dati, e che abroga il regolamento (CE) n. 45/2001 e la
decisione n. 1247/2002/CE e' pubblicato nella G.U.U.E. 21
novembre 2018, n. 295, serie L.
- Il regolamento (UE) 2019/881 del Parlamento europeo e
del Consiglio, del 17 aprile 2019, relativo all'ENISA,
l'Agenzia dell'Unione europea per la cibersicurezza, e alla
certificazione della cibersicurezza per le tecnologie
dell'informazione e della comunicazione, e che abroga il
regolamento (UE) n. 526/2013 («regolamento sulla
cibersicurezza») e' pubblicato nella G.U.U.E. 7 giugno
2019, n. 151, serie L.
- Il decreto legislativo 30 giugno 2003, n. 196,
recante: «Codice in materia di protezione dei dati
personali, recante disposizioni per l'adeguamento
dell'ordinamento nazionale al regolamento (UE) n. 2016/679
del Parlamento europeo e del Consiglio, del 27 aprile 2016,
relativo alla protezione delle persone fisiche con riguardo
al trattamento dei dati personali, nonche' alla libera
circolazione di tali dati e che abroga la direttiva
95/46/CE», e' pubblicato nella Gazzetta Ufficiale n. 174
del 29 luglio 2003, S.O. n. 123.
- Il decreto legislativo 7 marzo 2005, n. 82, recante:
«Codice dell'amministrazione digitale» e' pubblicato nella
Gazzetta Ufficiale n. 112 del 16 maggio 2005, S.O. n. 93.
- Il decreto legislativo 24 gennaio 2006, n. 36,
recante: «Attuazione della direttiva (UE) 2019/1024
relativa all'apertura dei dati e al riutilizzo
dell'informazione del settore pubblico che ha abrogato la
direttiva 2003/98/CE» e' pubblicato nella Gazzetta
Ufficiale n. 37 del 14 febbraio 2006.
- Si riporta il testo dell'art. 19 del decreto-legge 22
giugno 2012, n. 83, recante: «Misure urgenti per la
crescita del Paese» (convertito, con modificazioni, dalla
legge 7 agosto 2012, n. 134, pubblicato nella Gazzetta
Ufficiale n. 187 dell'11 agosto 2012, S.O.) pubblicato
nella Gazzetta Ufficiale n. 147 del 26 giugno 2012, S.O. n.
129:
«Art. 19 (Istituzione dell'Agenzia per l'Italia
digitale). - 1. E' istituita l'Agenzia per l'Italia
Digitale, sottoposta alla vigilanza del Presidente del
Consiglio dei Ministri o del Ministro da lui delegato.
2. L'Agenzia opera sulla base di principi di
autonomia organizzativa, tecnico-operativa, gestionale, di
trasparenza e di economicita' e persegue gli obiettivi di
efficacia, efficienza, imparzialita', semplificazione e
partecipazione dei cittadini e delle imprese. Per quanto
non previsto dal presente decreto all'Agenzia si applicano
gli articoli 8 e 9 del decreto legislativo 30 luglio 1999,
n. 300.».
- Il decreto legislativo 10 agosto 2018, n. 101,
recante: «Disposizioni per l'adeguamento della normativa
nazionale alle disposizioni del regolamento (UE) 2016/679
del Parlamento europeo e del Consiglio, del 27 aprile 2016,
relativo alla protezione delle persone fisiche con riguardo
al trattamento dei dati personali, nonche' alla libera
circolazione di tali dati e che abroga la direttiva
95/46/CE» e' pubblicato nella Gazzetta Ufficiale n. 205 del
4 settembre 2018.
- Il decreto-legge 14 giugno 2021, n. 82 recante:
«Disposizioni urgenti in materia di cybersicurezza,
definizione dell'architettura nazionale di cybersicurezza e
istituzione dell'Agenzia per la cybersicurezza nazionale»
(convertito, con modificazioni, dalla legge 4 agosto 2021,
n. 109, pubblicata in Gazzetta Ufficiale n. 185 del 4
agosto 2021) e' pubblicato nella Gazzetta Ufficiale 14
giugno 2021, n. 140.
- Il decreto legislativo 3 agosto 2022, n. 123,
recante: «Norme di adeguamento della normativa nazionale
alle disposizioni del Titolo III "Quadro di certificazione
della cibersicurezza" del regolamento (UE) 2019/881 del
Parlamento europeo e del Consiglio, del 17 aprile 2019
relativo all'ENISA, l'Agenzia dell'Unione europea per la
cibersicurezza, e alla certificazione della cibersicurezza
per le tecnologie dell'informazione e della comunicazione,
e che abroga il regolamento (UE) n. 526/2013» e' pubblicato
nella Gazzetta Ufficiale n. 194 20 agosto 2022.
Note all'art. 1:
- Per i riferimenti al regolamento (UE) 2022/868 del
Parlamento europeo e del Consiglio, del 30 maggio 2022 si
veda nelle note alle premesse. |
| | Art. 2
Designazione dell'autorita' competente ai sensi degli articoli 13, 23
e 26 del regolamento (UE) 2022/868
1. In applicazione degli articoli 13, 23 e 26 del regolamento, l'Agenzia per l'Italia digitale, di seguito denominata «AgID», e' designata quale autorita' competente allo svolgimento dei compiti relativi alla procedura di notifica per i servizi di intermediazione dei dati, nonche' quale autorita' competente alla registrazione di organizzazioni per l'altruismo dei dati.
2. L'AgID svolge la propria attivita' in maniera imparziale, trasparente, coerente, affidabile e tempestiva, salvaguardando, nell'esercizio della propria attivita', la concorrenza leale e la non discriminazione e in conformita' agli ulteriori requisiti di cui all'articolo 26 del regolamento. L'AgID opera in stretta e leale cooperazione con l'Agenzia per la cybersicurezza nazionale, l'Autorita' garante della concorrenza e del mercato e il Garante per la protezione dei dati personali e, a tal fine, puo' stipulare con gli stessi specifici accordi di collaborazione non onerosi. Gli accordi definiscono le forme e i modi di esercizio del coordinamento, anche endoprocedimentale, delle competenze, nell'ambito delle rispettive attribuzioni di AgID, del Garante per la protezione dei dati personali, dell'Agenzia per la cybersicurezza nazionale e delle altre amministrazioni competenti, in relazione alla materia trattata. Nel rispetto del principio di leale collaborazione, gli accordi prevedono forme specifiche di consultazione del Garante per la protezione dei dati personali, ogniqualvolta il procedimento amministrativo realizzato da AgID abbia implicazioni in termini di protezione dei dati.
3. L'AgID, sentite l'Agenzia per la cybersicurezza nazionale, l'Autorita' garante della concorrenza e del mercato e il Garante per la protezione dei dati personali per gli aspetti di rispettiva competenza, stabilisce con proprio provvedimento ai sensi dell'articolo 16 del regolamento le disposizioni tecniche e organizzative per facilitare l'altruismo dei dati nonche' le informazioni necessarie che devono essere fornite agli interessati in merito al riutilizzo dei loro dati nell'interesse generale.
4. L'AgID provvede, in applicazione e secondo le modalita' di cui all'articolo 14 del regolamento, al monitoraggio e al controllo della conformita' dei fornitori dei servizi di intermediazione dei dati ai requisiti di cui al capo III del regolamento medesimo.
5. L'AgID provvede, altresi', in applicazione e secondo le modalita' di cui all'articolo 24 del regolamento, al monitoraggio e al controllo della conformita' alle prescrizioni di cui al capo IV del regolamento medesimo da parte delle organizzazioni riconosciute per l'altruismo dei dati.
Note all'art. 2:
- Per i riferimenti al regolamento (UE) 2022/868 del
Parlamento europeo e del Consiglio, del 30 maggio 2022 si
veda nelle note alle premesse. |
| | Art. 3
Designazione dell'organismo competente e sportello unico ai sensi
degli articoli 7 e 8 del regolamento (UE) 2022/868
1. L'AgID e' designata, ai sensi dell'articolo 7 del regolamento, quale organismo competente per assistere gli enti pubblici che concedono o rifiutano l'accesso al riutilizzo delle categorie di dati di cui all'articolo 3, paragrafo 1, del regolamento e per concedere l'accesso per il riutilizzo delle categorie di dati ai sensi dell'articolo 7, paragrafo 2, del medesimo regolamento.
2. Ai sensi dell'articolo 8 del regolamento, l'AgID e' designata quale sportello unico e provvede all'implementazione delle relative funzioni estendendo il punto d'accesso unico garantito dal catalogo nazionale dei dati aperti di cui all'articolo 9, comma 2, del decreto legislativo 24 gennaio 2006, n. 36.
Note all'art. 3:
- Per i riferimenti al regolamento (UE) 2022/868 del
Parlamento europeo e del Consiglio, del 30 maggio 2022 si
veda nelle note alle premesse.
- Si riporta il testo dell'art. 9 del citato decreto
legislativo 24 gennaio 2006, n. 36:
«Art. 9 (Strumenti di ricerca di documenti
disponibili). - 1. Le pubbliche amministrazioni, gli
organismi di diritto pubblico, le imprese pubbliche e le
imprese private di cui all'articolo 1, comma 2-quater, cui
si applica il presente decreto, anche alla luce della
strategia nazionale in materia di dati, pubblicano e
aggiornano annualmente sui propri siti istituzionali gli
elenchi delle categorie di dati detenuti ai fini del
riutilizzo.
Individuano, inoltre, le modalita' per facilitare la
ricerca, anche interlinguistica, dei documenti disponibili
per il riutilizzo, insieme ai rispettivi metadati, ove
possibile accessibili on-line e in formati leggibili
meccanicamente.
2. Per la ricerca di dati in formato aperto, le
pubbliche amministrazioni, gli organismi di diritto
pubblico, le imprese pubbliche e le imprese private di cui
all'articolo 1, comma 2-quater, utilizzano il catalogo
nazionale dei dati aperti gestito dall'Agenzia per l'Italia
digitale, come punto di accesso unico alle serie di dati,
ad eccezione dei set di dati territoriali che sono
disponibili anche nel Repertorio Nazionale dei dati
Territoriali.
3. Le pubbliche amministrazioni e gli organismi di
diritto pubblico utilizzano le modalita' per facilitare la
conservazione dei documenti disponibili per il riutilizzo
secondo quanto previsto dall'articolo 44 del decreto
legislativo 7 marzo 2005, n. 82.». |
| | Art. 4
Disciplina sanzionatoria ai sensi dell'articolo 34
del regolamento (UE) 2022/868
1. Ferma restando l'applicazione della disciplina in materia di protezione dei dati personali, salvo che il fatto costituisca reato, in caso di violazione degli obblighi in materia di trasferimento di dati non personali a Paesi terzi a norma dell'articolo 5, paragrafo 14, e dell'articolo 31 del regolamento, dell'obbligo di notifica per i fornitori di servizi di intermediazione dei dati a norma dell'articolo 11 del regolamento, delle condizioni per la fornitura di servizi di intermediazione dei dati a norma dell'articolo 12 del regolamento, delle condizioni per la registrazione come organizzazione per l'altruismo dei dati riconosciuta a norma degli articoli 18, 20, 21 e 22 del regolamento da parte dei fornitori di servizi di intermediazione dei dati e delle organizzazioni per l'altruismo dei dati, l'AgID adotta, all'esito della procedura di cui all'articolo 18-bis del codice dell'amministrazione digitale di cui al decreto legislativo 7 marzo 2005, n. 82, sanzioni amministrative pecuniarie da un minimo di euro 10.000 fino a un massimo di euro 100.000, ovvero, per le imprese, fino al 6 per cento del fatturato mondiale totale annuo dell'esercizio precedente.
2. Le sanzioni per le violazioni di cui al comma 1 devono essere effettive, proporzionate e dissuasive e devono tenere conto dei seguenti criteri:
a) la natura, la gravita', l'entita' e la durata della violazione;
b) qualsiasi azione intrapresa dal fornitore di servizi di intermediazione dei dati o da un'organizzazione per l'altruismo dei dati riconosciuta al fine di attenuare il danno derivante dalla violazione o porvi rimedio;
c) qualsiasi precedente violazione da parte del fornitore di servizi di intermediazione dei dati o dell'organizzazione per l'altruismo dei dati riconosciuta;
d) i vantaggi finanziari ottenuti o le perdite evitate dal fornitore di servizi di intermediazione dei dati o da un'organizzazione per l'altruismo dei dati riconosciuta in ragione della violazione, nella misura in cui tali profitti o perdite possano essere determinati in modo attendibile;
e) eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso.
3. Fermi restando i criteri di cui al comma 2, l'AgID, con una o piu' determinazioni, da adottare entro trenta giorni dalla data di entrata in vigore del presente decreto, puo' specificare, laddove necessario, i criteri per la determinazione dell'importo delle sanzioni per le violazioni di cui al comma 1, adottando tutte le misure necessarie per assicurarne l'effettivita', la proporzionalita', la dissuasivita' e l'applicazione.
4. Si applica, per quanto non espressamente previsto dal presente articolo, la legge 24 novembre 1981, n. 689. I proventi delle sanzioni sono versati all'entrata del bilancio dello Stato per essere riassegnati allo stato di previsione della spesa del Ministero dell'economia e delle finanze e destinati per il 50 per cento all'AgID e per la restante parte al Fondo di cui all'articolo 239 del decreto-legge 19 maggio 2020, n. 34, convertito, con modificazioni, dalla legge 17 luglio 2020, n. 77.
Note all'art. 4:
- Per i riferimenti al regolamento (UE) 2022/868 del
Parlamento europeo e del Consiglio, del 30 maggio 2022 si
veda nelle note alle premesse.
- Si riporta il testo dell'art. 18-bis del citato
decreto legislativo 7 marzo 2005, n. 82:
«Art. 18-bis (Violazione degli obblighi di
transizione digitale). - 1. L'AgID esercita poteri di
vigilanza, verifica, controllo e monitoraggio sul rispetto
delle disposizioni del presente Codice e di ogni altra
norma in materia di innovazione tecnologica e
digitalizzazione della pubblica amministrazione, ivi
comprese quelle contenute nelle Linee guida e nel Piano
triennale per l'informatica nella pubblica amministrazione,
e procede, d'ufficio ovvero su segnalazione del difensore
civico digitale, all'accertamento delle relative violazioni
da parte dei soggetti di cui all'articolo 2, comma 2.
Nell'esercizio dei poteri di vigilanza, verifica, controllo
e monitoraggio, l'AgID richiede e acquisisce presso i
soggetti di cui all'articolo 2, comma 2, dati, documenti e
ogni altra informazione strumentale e necessaria. La
mancata ottemperanza alla richiesta di dati, documenti o
informazioni di cui al secondo periodo ovvero la
trasmissione di informazioni o dati parziali o non
veritieri e' punita ai sensi del comma 5, con applicazione
della sanzione ivi prevista ridotta della meta'.
2. L'AgID, quando dagli elementi acquisiti risulta
che sono state commesse una o piu' violazioni delle
disposizioni di cui al comma 1, procede alla contestazione
nei confronti del trasgressore, assegnandogli un termine
perentorio per inviare scritti difensivi e documentazione e
per chiedere di essere sentito.
3. L'AgID, ove accerti la sussistenza delle
violazioni contestate, assegna al trasgressore un congruo
termine perentorio, proporzionato rispetto al tipo e alla
gravita' della violazione, per conformare la condotta agli
obblighi previsti dalla normativa vigente, segnalando le
violazioni all'ufficio competente per i procedimenti
disciplinari di ciascuna amministrazione, nonche' ai
competenti organismi indipendenti di valutazione. L'AgID
pubblica le predette segnalazioni su apposita area del
proprio sito internet istituzionale.
4. Le violazioni accertate dall'AgID rilevano ai fini
della misurazione e della valutazione della performance
individuale dei dirigenti responsabili e comportano
responsabilita' dirigenziale e disciplinare ai sensi degli
articoli 21 e 55 del decreto legislativo 30 marzo 2001, n.
165. Resta fermo quanto previsto dagli articoli 13-bis, 50,
50-ter, 64-bis, comma 1-quinquies, del presente Codice e
dall'articolo 33-septies del decreto-legge 18 ottobre 2012,
n. 179, convertito, con modificazioni, dalla legge 17
dicembre 2012, n. 221.
5. In caso di mancata ottemperanza alla richiesta di
dati, documenti o informazioni di cui al comma 1, ultimo
periodo, ovvero di trasmissione di informazioni o dati
parziali o non veritieri, nonche' di violazione degli
obblighi previsti dagli articoli 5, 7, comma 3, 41, commi 2
e 2-bis, 43, comma 1-bis, 50, comma 3-ter, 50-ter, comma 5,
64, comma 3-bis, 64-bis del presente Codice, dall'articolo
65, comma 1, del decreto legislativo 13 dicembre 2017, n.
217 e dall'articolo 33-septies, comma 4, del decreto-legge
18 ottobre 2012, n. 179, convertito, con modificazioni,
dalla legge 17 dicembre 2012, n. 221, ove il soggetto di
cui all'articolo 2, comma 2, non ottemperi all'obbligo di
conformare la condotta nel termine di cui al comma 3,
l'AgID irroga la sanzione amministrativa pecuniaria nel
minimo di euro 10.000 e nel massimo di euro 100.000. Si
applica, per quanto non espressamente previsto dal presente
articolo, la disciplina della legge 24 novembre 1981, n.
689. I proventi delle sanzioni sono versati in apposito
capitolo di entrata del bilancio dello Stato per essere
riassegnati allo stato di previsione della spesa del
Ministero dell'economia e delle finanze a favore per il 50
per cento dell'AgID e per la restante parte al Fondo di cui
all'articolo 239 del decreto-legge 19 maggio 2020, n. 34,
convertito, con modificazioni, dalla legge 17 luglio 2020,
n. 77.
6. Contestualmente all'irrogazione della sanzione nei
casi di violazione delle norme specificamente indicate al
comma 5, nonche' di violazione degli obblighi di cui
all'articolo 13-bis, comma 4, l'AgID segnala la violazione
alla struttura della Presidenza del Consiglio dei ministri
competente per l'innovazione tecnologica e la transizione
digitale che, ricevuta la segnalazione, diffida
ulteriormente il soggetto responsabile a conformare la
propria condotta agli obblighi previsti dalla disciplina
vigente entro un congruo termine perentorio, proporzionato
al tipo e alla gravita' della violazione, avvisandolo che,
in caso di inottemperanza, potranno essere esercitati i
poteri sostitutivi del Presidente del Consiglio dei
ministri o del Ministro delegato. Decorso inutilmente il
termine, il Presidente del Consiglio dei ministri o il
Ministro delegato per l'innovazione tecnologica e la
transizione digitale, valutata la gravita' della
violazione, puo' nominare un commissario ad acta incaricato
di provvedere in sostituzione. Al commissario non spettano
compensi, indennita' o rimborsi. Nel caso di inerzia o
ritardi riguardanti amministrazioni locali, si procede
all'esercizio del potere sostitutivo di cui agli articoli
117, quinto comma, e 120, secondo comma, della
Costituzione, ai sensi dell'articolo 8 della legge 5 giugno
2003, n. 131.
7. L'AgID, con proprio regolamento, disciplina le
procedure di contestazione, accertamento, segnalazione e
irrogazione delle sanzioni per le violazioni di cui alla
presente disposizione.
8. All'attuazione della presente disposizione si
provvede con le risorse umane, strumentali e finanziarie
gia' previste a legislazione vigente.
8-bis. Le disposizioni del presente articolo trovano
applicazione in tutti i casi in cui l'AgID esercita poteri
sanzionatori attribuiti dalla legge.».
- La legge 24 novembre 1981, n. 689, recante:
«Modifiche al sistema penale» e' pubblicata nella Gazzetta
Ufficiale 30 novembre 1981, n. 329, S.O.
- Si riporta il testo dell'art. 239 del decreto-legge
19 maggio 2020, n. 34 recante: «Misure urgenti in materia
di salute, sostegno al lavoro e all'economia, nonche' di
politiche sociali connesse all'emergenza epidemiologica da
COVID-19» (convertito, con modificazioni, dalla legge 17
luglio 2020, n. 77, pubblicato nella Gazzetta Ufficiale n.
180 del 18 luglio 2020, S.O. n. 25), pubblicato nella
Gazzetta Ufficiale n. 128 del 19 maggio 2020, S.O. n. 21:
«Art. 239 (Fondo per l'innovazione tecnologica e la
digitalizzazione). - 1. Nello stato di previsione del
Ministero dell'economia e delle finanze e' istituito un
Fondo, con una dotazione di 50 milioni di euro per l'anno
2020, per l'innovazione tecnologica e la digitalizzazione,
destinato alla copertura delle spese per interventi,
acquisti di beni e servizi, misure di sostegno, attivita'
di assistenza tecnica e progetti nelle materie
dell'innovazione tecnologica, dell'attuazione dell'agenda
digitale italiana ed europea, del programma strategico
sull'intelligenza artificiale, della strategia italiana per
la banda ultra larga, della digitalizzazione delle
pubbliche amministrazioni e delle imprese, della strategia
nazionale dei dati pubblici, anche con riferimento al riuso
dei dati aperti, dello sviluppo e della diffusione delle
infrastrutture digitali materiali e immateriali e delle
tecnologie tra cittadini, imprese e pubbliche
amministrazioni, nonche' della diffusione delle competenze,
dell'educazione e della cultura digitale. Le suddette
risorse sono trasferite al bilancio autonomo della
Presidenza del consiglio dei ministri per essere assegnate
al Ministro delegato per l'innovazione tecnologica e la
digitalizzazione, che provvede alla gestione delle relative
risorse.
2. Con uno o piu' decreti del Presidente del
Consiglio dei ministri o del Ministro delegato per
l'innovazione tecnologica e la digitalizzazione sono
individuati gli interventi a cui sono destinate le risorse
di cui al comma 1, tenendo conto degli aspetti correlati
alla sicurezza cibernetica e nel rispetto delle competenze
attribuite dalla legge all'Agenzia per la cybersicurezza
nazionale. Con i predetti decreti, le risorse di cui al
comma 1 possono essere trasferite, in tutto o in parte,
anche alle pubbliche amministrazioni e ai soggetti di cui
all'articolo 2, comma 2, lettera a), del codice
dell'amministrazione digitale, di cui al decreto
legislativo 7 marzo 2005, n. 82, per la realizzazione di
progetti di trasformazione digitale coerenti con le
finalita' di cui al comma 1.
3. Agli oneri derivanti dall'attuazione del presente
articolo, pari a euro cinquanta milioni per l'anno 2020, si
provvede ai sensi dell'articolo 265.». |
| | Art. 5
Clausola di invarianza finanziaria
1. Dall'attuazione del presente decreto non devono derivare nuovi o maggiori oneri a carico della finanza pubblica.
2. Le amministrazioni interessate provvedono all'attuazione delle disposizioni di cui al presente decreto nei limiti delle risorse umane, strumentali e finanziarie disponibili a legislazione vigente.
Il presente decreto, munito del sigillo dello Stato, sara' inserito nella Raccolta ufficiale degli atti normativi della Repubblica italiana. E' fatto obbligo a chiunque spetti di osservarlo e di farlo osservare.
Dato a Roma, addi' 7 ottobre 2024
MATTARELLA
Meloni, Presidente del Consiglio
dei ministri
Fitto, Ministro per gli affari
europei, il Sud, le politiche di
coesione e il PNRR
Zangrillo, Ministro per la pubblica
amministrazione
Visto, il Guardasigilli: Nordio
|
| |
|
|