IL PRESIDENTE DELLA REPUBBLICA
Visti gli articoli 76 e 87 della Costituzione;
Vista la legge 23 agosto 1988, n. 400, recante «Disciplina
dell'attivita' di Governo e ordinamento della Presidenza del
Consiglio dei ministri» e, in particolare, l'articolo 14;
Vista la legge 24 dicembre 2012, n. 234, recante «Norme generali
sulla partecipazione dell'Italia alla formazione e all'attuazione
della normativa e delle politiche dell'Unione europea»;
Vista la legge 21 febbraio 2024, n. 15, recante «Delega al Governo
per il recepimento delle direttive europee e l'attuazione di altri
atti normativi dell'Unione europea - Legge di delegazione europea
2022-2023» e, in particolare, l'articolo 17;
Visto il regolamento (UE) 2022/868 del Parlamento europeo e del
Consiglio, del 30 maggio 2022, relativo alla governance europea dei
dati e che modifica il regolamento (UE) 2018/1724;
Visto il regolamento (UE) 2016/679 del Parlamento europeo e del
Consiglio, del 27 aprile 2016, relativo alla protezione delle persone
fisiche con riguardo al trattamento dei dati personali, nonche' alla
libera circolazione di tali dati e che abroga la direttiva 95/46/CE;
Visto il regolamento (UE) 2018/1724 del Parlamento europeo e del
Consiglio, del 2 ottobre 2018, che istituisce uno sportello digitale
unico per l'accesso a informazioni, procedure e servizi di assistenza
e di risoluzione dei problemi e che modifica il regolamento (UE) n.
1024/2012;
Visto il regolamento (UE) 2018/1725 del Parlamento europeo e del
Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in
relazione al trattamento dei dati personali da parte delle
istituzioni, degli organi e degli organismi dell'Unione e sulla
libera circolazione di tali dati, e che abroga il regolamento (CE) n.
45/2001 e la decisione n. 1247/2002/CE;
Visto il regolamento (UE) 2019/881 del Parlamento europeo e del
Consiglio, del 17 aprile 2019, relativo all'ENISA, l'Agenzia
dell'Unione europea per la cibersicurezza, e alla certificazione
della cibersicurezza per le tecnologie dell'informazione e della
comunicazione, e che abroga il regolamento (UE) n. 526/2013;
Visto il decreto legislativo 30 giugno 2003, n. 196, recante
«Codice in materia di protezione dei dati personali, recante
disposizioni per l'adeguamento dell'ordinamento nazionale al
regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio,
del 27 aprile 2016, relativo alla protezione delle persone fisiche
con riguardo al trattamento dei dati personali, nonche' alla libera
circolazione di tali dati e che abroga la direttiva 95/46/CE»;
Visto il decreto legislativo 7 marzo 2005, n. 82, recante «Codice
dell'amministrazione digitale»;
Visto il decreto legislativo 24 gennaio 2006, n. 36, recante
«Attuazione della direttiva (UE) 2019/1024 relativa all'apertura dei
dati e al riutilizzo dell'informazione del settore pubblico che ha
abrogato la direttiva 2003/98/CE»;
Visto il decreto-legge 22 giugno 2012, n. 83, convertito, con
modificazioni, dalla legge 7 agosto 2012, n. 134, recante «Misure
urgenti per la crescita del Paese» e, in particolare, l'articolo 19,
con cui e' stata istituita l'Agenzia per l'Italia digitale (AgID);
Visto il decreto legislativo 10 agosto 2018, n. 101, recante
«Disposizioni per l'adeguamento della normativa nazionale alle
disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e
del Consiglio, del 27 aprile 2016, relativo alla protezione delle
persone fisiche con riguardo al trattamento dei dati personali,
nonche' alla libera circolazione di tali dati e che abroga la
direttiva 95/46/CE»;
Visto il decreto-legge 14 giugno 2021, n. 82, convertito, con
modificazioni, dalla legge 4 agosto 2021, n. 109, recante
«Disposizioni urgenti in materia di cybersicurezza, definizione
dell'architettura nazionale di cybersicurezza e istituzione
dell'Agenzia per la cybersicurezza nazionale»;
Visto il decreto legislativo 3 agosto 2022, n. 123, recante «Norme
di adeguamento della normativa nazionale alle disposizioni del Titolo
III "Quadro di certificazione della cibersicurezza" del regolamento
(UE) 2019/881 del Parlamento europeo e del Consiglio, del 17 aprile
2019 relativo all'ENISA, l'Agenzia dell'Unione europea per la
cibersicurezza, e alla certificazione della cibersicurezza per le
tecnologie dell'informazione e della comunicazione, e che abroga il
regolamento (UE) n. 526/2013»;
Vista la preliminare deliberazione del Consiglio dei ministri,
adottata nella riunione del 3 luglio 2024;
Acquisito il parere del Garante per la protezione dei dati
personali del 12 settembre 2024;
Acquisito il parere dell'Agenzia per la cybersicurezza nazionale
del 24 settembre 2024;
Acquisito il parere dell'Agenzia per l'Italia digitale del 26
settembre 2024;
Acquisiti i pareri delle competenti Commissioni della Camera dei
deputati e del Senato della Repubblica;
Vista la deliberazione del Consiglio dei ministri, adottata nella
riunione del 2 ottobre 2024;
Sulla proposta del Ministro per gli affari europei, il Sud, le
politiche di coesione e il PNRR e del Ministro per la pubblica
amministrazione;
Emana
il seguente decreto legislativo:
Art. 1
Oggetto e ambito di applicazione
1. Nel rispetto di quanto previsto dagli articoli 1 e 3 del
regolamento (UE) 2022/868 del Parlamento europeo e del Consiglio, del
30 maggio 2022, di seguito denominato «regolamento», il presente
decreto, in applicazione degli articoli 7, 13, 23 e 34 del medesimo
regolamento, designa l'autorita' competente per i servizi di
intermediazione dei dati e per la registrazione di organizzazioni per
l'altruismo dei dati, nonche' gli organismi competenti per specifici
settori che assistono gli enti pubblici che concedono o rifiutano
l'accesso alle categorie di dati individuate dall'articolo 3 del
regolamento, dettando la disciplina sanzionatoria per le violazioni
del medesimo regolamento.
2. Restano ferme le disposizioni in materia di protezione dei dati
personali e di controllo sul trattamento dei medesimi dati nonche' le
competenze del Garante per la protezione dei dati personali,
dell'Agenzia per la cybersicurezza nazionale e dell'Autorita' garante
della concorrenza e del mercato previste a legislazione vigente.
NOTE
Avvertenza:
Il testo delle note qui pubblicato e' stato redatto
dall'amministrazione competente per materia, ai sensi
dell'art. 10, comma 3, del testo unico delle disposizioni
sulla promulgazione delle leggi, sull'emanazione dei
decreti del Presidente della Repubblica e sulle
pubblicazioni ufficiali della Repubblica italiana,
approvato con D.P.R. 28 dicembre 1985, n. 1092, al solo
fine di facilitare la lettura delle disposizioni di legge,
alle quali e' operato il rinvio. Restano invariati il
valore e l'efficacia degli atti legislativi qui trascritti.
Per le direttive CEE vengono forniti gli estremi di
pubblicazione nella Gazzetta Ufficiale delle Comunita'
europee (GUUE).
Note alle premesse:
- L'art. 76. della Costituzione stabilisce che
l'esercizio della funzione legislativa non puo' essere
delegato al Governo se non con determinazione di principi e
criteri direttivi e soltanto per tempo limitato e per
oggetti definiti.
- L'art. 87 della Costituzione conferisce, tra l'altro,
al Presidente della Repubblica il potere di promulgare le
leggi ed emanare i decreti aventi valore di legge e i
regolamenti.
- Si riporta il testo dell'art. 14 della legge 23
agosto 1988, n. 400, recante: «Disciplina dell'attivita' di
Governo e ordinamento della Presidenza del Consiglio dei
ministri», pubblicata nella Gazzetta Ufficiale n. 214 del
12 settembre 1988, S.O. n. 86:
«Art. 14 (Decreti legislativi). - 1. I decreti
legislativi adottati dal Governo ai sensi dell'articolo 76
della Costituzione sono emanati dal Presidente della
Repubblica con la denominazione di "decreto legislativo" e
con l'indicazione, nel preambolo, della legge di
delegazione, della deliberazione del Consiglio dei ministri
e degli altri adempimenti del procedimento prescritti dalla
legge di delegazione.
2. L'emanazione del decreto legislativo deve avvenire
entro il termine fissato dalla legge di delegazione; il
testo del decreto legislativo adottato dal Governo e'
trasmesso al Presidente della Repubblica, per la
emanazione, almeno venti giorni prima della scadenza.
3. Se la delega legislativa si riferisce ad una
pluralita' di oggetti distinti suscettibili di separata
disciplina, il Governo puo' esercitarla mediante piu' atti
successivi per uno o piu' degli oggetti predetti. In
relazione al termine finale stabilito dalla legge di
delegazione, il Governo informa periodicamente le Camere
sui criteri che segue nell'organizzazione dell'esercizio
della delega.
4. In ogni caso, qualora il termine previsto per
l'esercizio della delega ecceda in due anni, il Governo e'
tenuto a richiedere il parere delle Camere sugli schemi dei
decreti delegati. Il parere e' espresso dalle Commissioni
permanenti delle due Camere competenti per materia entro
sessanta giorni, indicando specificamente le eventuali
disposizioni non ritenute corrispondenti alle direttive
della legge di delegazione. Il Governo, nei trenta giorni
successivi, esaminato il parere, ritrasmette, con le sue
osservazioni e con eventuali modificazioni, i testi alle
Commissioni per il parere definitivo che deve essere
espresso entro trenta giorni.».
- La legge 24 dicembre 2012, n. 234, recante: «Norme
generali sulla partecipazione dell'Italia alla formazione e
all'attuazione della normativa e delle politiche
dell'Unione europea», e' pubblicata nella Gazzetta
Ufficiale n. 3 del 4 gennaio 2013.
- Si riporta il testo dell'art. 17 della legge 21
febbraio 2024, n. 15, recante: «Delega al Governo per il
recepimento delle direttive europee e l'attuazione di altri
atti normativi dell'Unione europea - Legge di delegazione
europea 2022-2023», pubblicata nella Gazzetta Ufficiale n.
46 del 24 febbraio 2024:
«Art. 17 (Delega al Governo per l'adeguamento della
normativa nazionale alle disposizioni del regolamento (UE)
2022/868, relativo alla governance europea dei dati e che
modifica il regolamento (UE) 2018/1724). - 1. Il Governo e'
delegato ad adottare, entro quattro mesi dalla data di
entrata in vigore della presente legge, con le procedure di
cui all'articolo 31 della legge 24 dicembre 2012, n. 234,
acquisito il parere del Garante per la protezione dei dati
personali, dell'Agenzia per la cybersicurezza nazionale e
dell'Agenzia per l'Italia digitale, uno o piu' decreti
legislativi al fine di adeguare la normativa nazionale alle
disposizioni del regolamento (UE) 2022/868 del Parlamento
europeo e del Consiglio, del 30 maggio 2022.
2. Nell'esercizio della delega di cui al comma 1, il
Governo e' tenuto a seguire, oltre ai principi e criteri
direttivi generali di cui all'articolo 32 della legge 24
dicembre 2012, n. 234, anche i seguenti principi e criteri
direttivi specifici:
a) designare una o piu' autorita', per i profili di
competenza, quali autorita' competenti ai sensi degli
articoli 13 e 23 del regolamento (UE) 2022/868, attribuendo
a ciascuna le relative funzioni nel rispetto dei requisiti
di cui all'articolo 26 e fermo restando il rispetto
dell'articolo 1, paragrafo 3, del medesimo regolamento
(UE);
b) definire le procedure per il coordinamento delle
competenze delle autorita' designate e delle altre
amministrazioni competenti, nell'ambito delle rispettive
attribuzioni, in relazione alla materia trattata, nel
rispetto del principio di leale collaborazione;
c) introdurre disposizioni organizzative e tecniche
ai sensi dell'articolo 16 del regolamento (UE) 2022/868,
per facilitare l'altruismo dei dati, come definito ai sensi
dell'articolo 2, numero 16), del medesimo regolamento (UE),
stabilendo altresi' le informazioni necessarie che devono
essere fornite agli interessati in merito al riutilizzo dei
loro dati nell'interesse generale;
d) designare gli organismi competenti di cui
all'articolo 7 del regolamento (UE) 2022/868, anche
avvalendosi di enti pubblici esistenti o di servizi interni
di enti pubblici che soddisfino le condizioni stabilite dal
medesimo regolamento (UE);
e) garantire, conformemente alla normativa in
materia di protezione dei dati personali, i presupposti di
liceita' per la trasmissione di dati personali a terzi, ai
fini del riutilizzo di cui all'articolo 5, sulla base di
quanto disposto dall'articolo 1, paragrafo 3, del
regolamento (UE) 2022/868;
f) adeguare il sistema sanzionatorio penale e
amministrativo vigente alle disposizioni del regolamento
(UE) 2022/868, con previsione di sanzioni efficaci,
dissuasive e proporzionate alla gravita' della violazione
delle disposizioni stesse, nel rispetto dei criteri di cui
all'articolo 34 del regolamento (UE) 2022/868;
g) adeguare il vigente sistema delle tutele
amministrativa e giurisdizionale alle fattispecie previste
dagli articoli 9, paragrafo 2, 27 e 28 del regolamento (UE)
2022/868.
3. Dall'attuazione del presente articolo non devono
derivare nuovi o maggiori oneri a carico della finanza
pubblica. Le amministrazioni competenti provvedono
all'adempimento dei compiti derivanti dall'esercizio della
delega di cui al presente articolo con le risorse umane,
strumentali e finanziarie disponibili a legislazione
vigente.».
- Il regolamento (UE) 2022/868 del Parlamento europeo e
del Consiglio, del 30 maggio 2022, recante Regolamento del
Parlamento Europeo e del Consiglio relativo alla governance
europea dei dati e che modifica il regolamento (UE)
2018/1724 (Regolamento sulla governance dei dati) e'
pubblicato nella G.U.U.E. 3 giugno 2022, n. 152, serie L.
- Il regolamento (UE) 2016/679 del Parlamento europeo e
del Consiglio, del 27 aprile 2016, relativo alla protezione
delle persone fisiche con riguardo al trattamento dei dati
personali, nonche' alla libera circolazione di tali dati e
che abroga la direttiva 95/46/CE e' pubblicato nella
G.U.U.E. 4 maggio 2016, n. 119, serie L.
- Il regolamento (UE) 2018/1724 del Parlamento europeo
e del Consiglio, del 2 ottobre 2018, che istituisce uno
sportello digitale unico per l'accesso a informazioni,
procedure e servizi di assistenza e di risoluzione dei
problemi e che modifica il regolamento (UE) n. 1024/2012 e'
pubblicato nella G.U.U.E. 21 novembre 2018, n. 295, serie
L.
- Il regolamento (UE) 2018/1725 del Parlamento europeo
e del Consiglio, del 23 ottobre 2018, sulla tutela delle
persone fisiche in relazione al trattamento dei dati
personali da parte delle istituzioni, degli organi e degli
organismi dell'Unione e sulla libera circolazione di tali
dati, e che abroga il regolamento (CE) n. 45/2001 e la
decisione n. 1247/2002/CE e' pubblicato nella G.U.U.E. 21
novembre 2018, n. 295, serie L.
- Il regolamento (UE) 2019/881 del Parlamento europeo e
del Consiglio, del 17 aprile 2019, relativo all'ENISA,
l'Agenzia dell'Unione europea per la cibersicurezza, e alla
certificazione della cibersicurezza per le tecnologie
dell'informazione e della comunicazione, e che abroga il
regolamento (UE) n. 526/2013 («regolamento sulla
cibersicurezza») e' pubblicato nella G.U.U.E. 7 giugno
2019, n. 151, serie L.
- Il decreto legislativo 30 giugno 2003, n. 196,
recante: «Codice in materia di protezione dei dati
personali, recante disposizioni per l'adeguamento
dell'ordinamento nazionale al regolamento (UE) n. 2016/679
del Parlamento europeo e del Consiglio, del 27 aprile 2016,
relativo alla protezione delle persone fisiche con riguardo
al trattamento dei dati personali, nonche' alla libera
circolazione di tali dati e che abroga la direttiva
95/46/CE», e' pubblicato nella Gazzetta Ufficiale n. 174
del 29 luglio 2003, S.O. n. 123.
- Il decreto legislativo 7 marzo 2005, n. 82, recante:
«Codice dell'amministrazione digitale» e' pubblicato nella
Gazzetta Ufficiale n. 112 del 16 maggio 2005, S.O. n. 93.
- Il decreto legislativo 24 gennaio 2006, n. 36,
recante: «Attuazione della direttiva (UE) 2019/1024
relativa all'apertura dei dati e al riutilizzo
dell'informazione del settore pubblico che ha abrogato la
direttiva 2003/98/CE» e' pubblicato nella Gazzetta
Ufficiale n. 37 del 14 febbraio 2006.
- Si riporta il testo dell'art. 19 del decreto-legge 22
giugno 2012, n. 83, recante: «Misure urgenti per la
crescita del Paese» (convertito, con modificazioni, dalla
legge 7 agosto 2012, n. 134, pubblicato nella Gazzetta
Ufficiale n. 187 dell'11 agosto 2012, S.O.) pubblicato
nella Gazzetta Ufficiale n. 147 del 26 giugno 2012, S.O. n.
129:
«Art. 19 (Istituzione dell'Agenzia per l'Italia
digitale). - 1. E' istituita l'Agenzia per l'Italia
Digitale, sottoposta alla vigilanza del Presidente del
Consiglio dei Ministri o del Ministro da lui delegato.
2. L'Agenzia opera sulla base di principi di
autonomia organizzativa, tecnico-operativa, gestionale, di
trasparenza e di economicita' e persegue gli obiettivi di
efficacia, efficienza, imparzialita', semplificazione e
partecipazione dei cittadini e delle imprese. Per quanto
non previsto dal presente decreto all'Agenzia si applicano
gli articoli 8 e 9 del decreto legislativo 30 luglio 1999,
n. 300.».
- Il decreto legislativo 10 agosto 2018, n. 101,
recante: «Disposizioni per l'adeguamento della normativa
nazionale alle disposizioni del regolamento (UE) 2016/679
del Parlamento europeo e del Consiglio, del 27 aprile 2016,
relativo alla protezione delle persone fisiche con riguardo
al trattamento dei dati personali, nonche' alla libera
circolazione di tali dati e che abroga la direttiva
95/46/CE» e' pubblicato nella Gazzetta Ufficiale n. 205 del
4 settembre 2018.
- Il decreto-legge 14 giugno 2021, n. 82 recante:
«Disposizioni urgenti in materia di cybersicurezza,
definizione dell'architettura nazionale di cybersicurezza e
istituzione dell'Agenzia per la cybersicurezza nazionale»
(convertito, con modificazioni, dalla legge 4 agosto 2021,
n. 109, pubblicata in Gazzetta Ufficiale n. 185 del 4
agosto 2021) e' pubblicato nella Gazzetta Ufficiale 14
giugno 2021, n. 140.
- Il decreto legislativo 3 agosto 2022, n. 123,
recante: «Norme di adeguamento della normativa nazionale
alle disposizioni del Titolo III "Quadro di certificazione
della cibersicurezza" del regolamento (UE) 2019/881 del
Parlamento europeo e del Consiglio, del 17 aprile 2019
relativo all'ENISA, l'Agenzia dell'Unione europea per la
cibersicurezza, e alla certificazione della cibersicurezza
per le tecnologie dell'informazione e della comunicazione,
e che abroga il regolamento (UE) n. 526/2013» e' pubblicato
nella Gazzetta Ufficiale n. 194 20 agosto 2022.
Note all'art. 1:
- Per i riferimenti al regolamento (UE) 2022/868 del
Parlamento europeo e del Consiglio, del 30 maggio 2022 si
veda nelle note alle premesse.