Logo Governo Presidenza del Consiglio dei Ministri
Logo Normattiva

Normattiva - Il portale della legge vigente
Ricerca avanzata

stai visualizzando l'atto

vigente al
originario
multivigente

DECRETO LEGISLATIVO 7 ottobre 2024, n. 144

Norme di adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2022/868 del Parlamento europeo e del Consiglio, del 30 maggio 2022, relativo alla governance europea dei dati e che modifica il regolamento (UE) 2018/1724. (24G00167)

note: Entrata in vigore del provvedimento: 25/10/2024
(GU n.238 del 10-10-2024) visualizza atto intero
nascondi
articolo successivo
Testo in vigore dal:  25-10-2024

IL PRESIDENTE DELLA REPUBBLICA

Visti gli articoli 76 e 87 della Costituzione;
Vista la legge 23 agosto 1988, n. 400, recante «Disciplina dell'attività di Governo e ordinamento della Presidenza del Consiglio dei ministri» e, in particolare, l'articolo 14;
Vista la legge 24 dicembre 2012, n. 234, recante «Norme generali sulla partecipazione dell'Italia alla formazione e all'attuazione della normativa e delle politiche dell'Unione europea»;
Vista la legge 21 febbraio 2024, n. 15, recante «Delega al Governo per il recepimento delle direttive europee e l'attuazione di altri atti normativi dell'Unione europea - Legge di delegazione europea 2022-2023» e, in particolare, l'articolo 17;
Visto il regolamento (UE) 2022/868 del Parlamento europeo e del Consiglio, del 30 maggio 2022, relativo alla governance europea dei dati e che modifica il regolamento (UE) 2018/1724;
Visto il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE;
Visto il regolamento (UE) 2018/1724 del Parlamento europeo e del Consiglio, del 2 ottobre 2018, che istituisce uno sportello digitale unico per l'accesso a informazioni, procedure e servizi di assistenza e di risoluzione dei problemi e che modifica il regolamento (UE) n. 1024/2012;
Visto il regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell'Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE;
Visto il regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, del 17 aprile 2019, relativo all'ENISA, l'Agenzia dell'Unione europea per la cibersicurezza, e alla certificazione della cibersicurezza per le tecnologie dell'informazione e della comunicazione, e che abroga il regolamento (UE) n. 526/2013;
Visto il decreto legislativo 30 giugno 2003, n. 196, recante «Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE»;
Visto il decreto legislativo 7 marzo 2005, n. 82, recante «Codice dell'amministrazione digitale»;
Visto il decreto legislativo 24 gennaio 2006, n. 36, recante «Attuazione della direttiva (UE) 2019/1024 relativa all'apertura dei dati e al riutilizzo dell'informazione del settore pubblico che ha abrogato la direttiva 2003/98/CE»;
Visto il decreto-legge 22 giugno 2012, n. 83, convertito, con modificazioni, dalla legge 7 agosto 2012, n. 134, recante «Misure urgenti per la crescita del Paese» e, in particolare, l'articolo 19, con cui è stata istituita l'Agenzia per l'Italia digitale (AgID);
Visto il decreto legislativo 10 agosto 2018, n. 101, recante «Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE»;
Visto il decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, recante «Disposizioni urgenti in materia di cybersicurezza, definizione dell'architettura nazionale di cybersicurezza e istituzione dell'Agenzia per la cybersicurezza nazionale»;
Visto il decreto legislativo 3 agosto 2022, n. 123, recante «Norme di adeguamento della normativa nazionale alle disposizioni del Titolo III "Quadro di certificazione della cibersicurezza" del regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, del 17 aprile 2019 relativo all'ENISA, l'Agenzia dell'Unione europea per la cibersicurezza, e alla certificazione della cibersicurezza per le tecnologie dell'informazione e della comunicazione, e che abroga il regolamento (UE) n. 526/2013»;
Vista la preliminare deliberazione del Consiglio dei ministri, adottata nella riunione del 3 luglio 2024;
Acquisito il parere del Garante per la protezione dei dati personali del 12 settembre 2024;
Acquisito il parere dell'Agenzia per la cybersicurezza nazionale del 24 settembre 2024;
Acquisito il parere dell'Agenzia per l'Italia digitale del 26 settembre 2024;
Acquisiti i pareri delle competenti Commissioni della Camera dei deputati e del Senato della Repubblica;
Vista la deliberazione del Consiglio dei ministri, adottata nella riunione del 2 ottobre 2024;
Sulla proposta del Ministro per gli affari europei, il Sud, le politiche di coesione e il PNRR e del Ministro per la pubblica amministrazione;

Emana

il seguente decreto legislativo:

Art. 1

Oggetto e ambito di applicazione
1. Nel rispetto di quanto previsto dagli articoli 1 e 3 del regolamento (UE) 2022/868 del Parlamento europeo e del Consiglio, del 30 maggio 2022, di seguito denominato «regolamento», il presente decreto, in applicazione degli articoli 7, 13, 23 e 34 del medesimo regolamento, designa l'autorità competente per i servizi di intermediazione dei dati e per la registrazione di organizzazioni per l'altruismo dei dati, nonché gli organismi competenti per specifici settori che assistono gli enti pubblici che concedono o rifiutano l'accesso alle categorie di dati individuate dall'articolo 3 del regolamento, dettando la disciplina sanzionatoria per le violazioni del medesimo regolamento.
2. Restano ferme le disposizioni in materia di protezione dei dati personali e di controllo sul trattamento dei medesimi dati nonché le competenze del Garante per la protezione dei dati personali, dell'Agenzia per la cybersicurezza nazionale e dell'Autorità garante della concorrenza e del mercato previste a legislazione vigente.
NOTE

Avvertenza:
Il testo delle note qui pubblicato è stato redatto dall'amministrazione competente per materia, ai sensi dell'art. 10, comma 3, del testo unico delle disposizioni sulla promulgazione delle leggi, sull'emanazione dei decreti del Presidente della Repubblica e sulle pubblicazioni ufficiali della Repubblica italiana, approvato con D.P.R. 28 dicembre 1985, n. 1092, al solo fine di facilitare la lettura delle disposizioni di legge, alle quali è operato il rinvio. Restano invariati il valore e l'efficacia degli atti legislativi qui trascritti.
Per le direttive CEE vengono forniti gli estremi di pubblicazione nella Gazzetta Ufficiale delle Comunità europee (GUUE).
Note alle premesse:
- L'art. 76. della Costituzione stabilisce che l'esercizio della funzione legislativa non può essere delegato al Governo se non con determinazione di principi e criteri direttivi e soltanto per tempo limitato e per oggetti definiti.
- L'art. 87 della Costituzione conferisce, tra l'altro, al Presidente della Repubblica il potere di promulgare le leggi ed emanare i decreti aventi valore di legge e i regolamenti.
- Si riporta il testo dell'art. 14 della legge 23 agosto 1988, n. 400, recante: «Disciplina dell'attività di Governo e ordinamento della Presidenza del Consiglio dei ministri», pubblicata nella Gazzetta Ufficiale n. 214 del 12 settembre 1988, S.O. n. 86:
«Art. 14 (Decreti legislativi). - 1. I decreti legislativi adottati dal Governo ai sensi dell'articolo 76 della Costituzione sono emanati dal Presidente della Repubblica con la denominazione di "decreto legislativo" e con l'indicazione, nel preambolo, della legge di delegazione, della deliberazione del Consiglio dei ministri e degli altri adempimenti del procedimento prescritti dalla legge di delegazione.
2. L'emanazione del decreto legislativo deve avvenire entro il termine fissato dalla legge di delegazione; il testo del decreto legislativo adottato dal Governo è trasmesso al Presidente della Repubblica, per la emanazione, almeno venti giorni prima della scadenza.
3. Se la delega legislativa si riferisce ad una pluralità di oggetti distinti suscettibili di separata disciplina, il Governo può esercitarla mediante più atti successivi per uno o più degli oggetti predetti. In relazione al termine finale stabilito dalla legge di delegazione, il Governo informa periodicamente le Camere sui criteri che segue nell'organizzazione dell'esercizio della delega.
4. In ogni caso, qualora il termine previsto per l'esercizio della delega ecceda in due anni, il Governo è tenuto a richiedere il parere delle Camere sugli schemi dei decreti delegati. Il parere è espresso dalle Commissioni permanenti delle due Camere competenti per materia entro sessanta giorni, indicando specificamente le eventuali disposizioni non ritenute corrispondenti alle direttive della legge di delegazione. Il Governo, nei trenta giorni successivi, esaminato il parere, ritrasmette, con le sue osservazioni e con eventuali modificazioni, i testi alle Commissioni per il parere definitivo che deve essere espresso entro trenta giorni.».
- La legge 24 dicembre 2012, n. 234, recante: «Norme generali sulla partecipazione dell'Italia alla formazione e all'attuazione della normativa e delle politiche dell'Unione europea», è pubblicata nella Gazzetta Ufficiale n. 3 del 4 gennaio 2013.
- Si riporta il testo dell'art. 17 della legge 21 febbraio 2024, n. 15, recante: «Delega al Governo per il recepimento delle direttive europee e l'attuazione di altri atti normativi dell'Unione europea - Legge di delegazione europea 2022-2023», pubblicata nella Gazzetta Ufficiale n. 46 del 24 febbraio 2024:
«Art. 17 (Delega al Governo per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2022/868, relativo alla governance europea dei dati e che modifica il regolamento (UE) 2018/1724). - 1. Il Governo è delegato ad adottare, entro quattro mesi dalla data di entrata in vigore della presente legge, con le procedure di cui all'articolo 31 della legge 24 dicembre 2012, n. 234, acquisito il parere del Garante per la protezione dei dati personali, dell'Agenzia per la cybersicurezza nazionale e dell'Agenzia per l'Italia digitale, uno o più decreti legislativi al fine di adeguare la normativa nazionale alle disposizioni del regolamento (UE) 2022/868 del Parlamento europeo e del Consiglio, del 30 maggio 2022.
2. Nell'esercizio della delega di cui al comma 1, il Governo è tenuto a seguire, oltre ai principi e criteri direttivi generali di cui all'articolo 32 della legge 24 dicembre 2012, n. 234, anche i seguenti principi e criteri direttivi specifici:
a) designare una o più autorità, per i profili di competenza, quali autorità competenti ai sensi degli articoli 13 e 23 del regolamento (UE) 2022/868, attribuendo a ciascuna le relative funzioni nel rispetto dei requisiti di cui all'articolo 26 e fermo restando il rispetto dell'articolo 1, paragrafo 3, del medesimo regolamento (UE);
b) definire le procedure per il coordinamento delle competenze delle autorità designate e delle altre amministrazioni competenti, nell'ambito delle rispettive attribuzioni, in relazione alla materia trattata, nel rispetto del principio di leale collaborazione;
c) introdurre disposizioni organizzative e tecniche ai sensi dell'articolo 16 del regolamento (UE) 2022/868, per facilitare l'altruismo dei dati, come definito ai sensi dell'articolo 2, numero 16), del medesimo regolamento (UE), stabilendo altresì le informazioni necessarie che devono essere fornite agli interessati in merito al riutilizzo dei loro dati nell'interesse generale;
d) designare gli organismi competenti di cui all'articolo 7 del regolamento (UE) 2022/868, anche avvalendosi di enti pubblici esistenti o di servizi interni di enti pubblici che soddisfino le condizioni stabilite dal medesimo regolamento (UE);
e) garantire, conformemente alla normativa in materia di protezione dei dati personali, i presupposti di liceità per la trasmissione di dati personali a terzi, ai fini del riutilizzo di cui all'articolo 5, sulla base di quanto disposto dall'articolo 1, paragrafo 3, del regolamento (UE) 2022/868;
f) adeguare il sistema sanzionatorio penale e amministrativo vigente alle disposizioni del regolamento (UE) 2022/868, con previsione di sanzioni efficaci, dissuasive e proporzionate alla gravità della violazione delle disposizioni stesse, nel rispetto dei criteri di cui all'articolo 34 del regolamento (UE) 2022/868;
g) adeguare il vigente sistema delle tutele amministrativa e giurisdizionale alle fattispecie previste dagli articoli 9, paragrafo 2, 27 e 28 del regolamento (UE) 2022/868.
3. Dall'attuazione del presente articolo non devono derivare nuovi o maggiori oneri a carico della finanza pubblica. Le amministrazioni competenti provvedono all'adempimento dei compiti derivanti dall'esercizio della delega di cui al presente articolo con le risorse umane, strumentali e finanziarie disponibili a legislazione vigente.».
- Il regolamento (UE) 2022/868 del Parlamento europeo e del Consiglio, del 30 maggio 2022, recante Regolamento del Parlamento Europeo e del Consiglio relativo alla governance europea dei dati e che modifica il regolamento (UE) 2018/1724 (Regolamento sulla governance dei dati) è pubblicato nella G.U.U.E. 3 giugno 2022, n. 152, serie L.
- Il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE è pubblicato nella G.U.U.E. 4 maggio 2016, n. 119, serie L.
- Il regolamento (UE) 2018/1724 del Parlamento europeo e del Consiglio, del 2 ottobre 2018, che istituisce uno sportello digitale unico per l'accesso a informazioni, procedure e servizi di assistenza e di risoluzione dei problemi e che modifica il regolamento (UE) n. 1024/2012 è pubblicato nella G.U.U.E. 21 novembre 2018, n. 295, serie L.
- Il regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell'Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE è pubblicato nella G.U.U.E. 21 novembre 2018, n. 295, serie L.
- Il regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, del 17 aprile 2019, relativo all'ENISA, l'Agenzia dell'Unione europea per la cibersicurezza, e alla certificazione della cibersicurezza per le tecnologie dell'informazione e della comunicazione, e che abroga il regolamento (UE) n. 526/2013 («regolamento sulla cibersicurezza») è pubblicato nella G.U.U.E. 7 giugno 2019, n. 151, serie L.
- Il decreto legislativo 30 giugno 2003, n. 196, recante: «Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE», è pubblicato nella Gazzetta Ufficiale n. 174 del 29 luglio 2003, S.O. n. 123.
- Il decreto legislativo 7 marzo 2005, n. 82, recante: «Codice dell'amministrazione digitale» è pubblicato nella Gazzetta Ufficiale n. 112 del 16 maggio 2005, S.O. n. 93.
- Il decreto legislativo 24 gennaio 2006, n. 36, recante: «Attuazione della direttiva (UE) 2019/1024 relativa all'apertura dei dati e al riutilizzo dell'informazione del settore pubblico che ha abrogato la direttiva 2003/98/CE» è pubblicato nella Gazzetta Ufficiale n. 37 del 14 febbraio 2006.
- Si riporta il testo dell'art. 19 del decreto-legge 22 giugno 2012, n. 83, recante: «Misure urgenti per la crescita del Paese» (convertito, con modificazioni, dalla legge 7 agosto 2012, n. 134, pubblicato nella Gazzetta Ufficiale n. 187 dell'11 agosto 2012, S.O.) pubblicato nella Gazzetta Ufficiale n. 147 del 26 giugno 2012, S.O. n. 129:
«Art. 19 (Istituzione dell'Agenzia per l'Italia digitale). - 1. È istituita l'Agenzia per l'Italia Digitale, sottoposta alla vigilanza del Presidente del Consiglio dei Ministri o del Ministro da lui delegato.
2. L'Agenzia opera sulla base di principi di autonomia organizzativa, tecnico-operativa, gestionale, di trasparenza e di economicità e persegue gli obiettivi di efficacia, efficienza, imparzialità, semplificazione e partecipazione dei cittadini e delle imprese. Per quanto non previsto dal presente decreto all'Agenzia si applicano gli articoli 8 e 9 del decreto legislativo 30 luglio 1999, n. 300.».
- Il decreto legislativo 10 agosto 2018, n. 101, recante: «Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE» è pubblicato nella Gazzetta Ufficiale n. 205 del 4 settembre 2018.
- Il decreto-legge 14 giugno 2021, n. 82 recante: «Disposizioni urgenti in materia di cybersicurezza, definizione dell'architettura nazionale di cybersicurezza e istituzione dell'Agenzia per la cybersicurezza nazionale» (convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, pubblicata in Gazzetta Ufficiale n. 185 del 4 agosto 2021) è pubblicato nella Gazzetta Ufficiale 14 giugno 2021, n. 140.
- Il decreto legislativo 3 agosto 2022, n. 123, recante: «Norme di adeguamento della normativa nazionale alle disposizioni del Titolo III "Quadro di certificazione della cibersicurezza" del regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, del 17 aprile 2019 relativo all'ENISA, l'Agenzia dell'Unione europea per la cibersicurezza, e alla certificazione della cibersicurezza per le tecnologie dell'informazione e della comunicazione, e che abroga il regolamento (UE) n. 526/2013» è pubblicato nella Gazzetta Ufficiale n. 194 20 agosto 2022.

Note all'art. 1:
- Per i riferimenti al regolamento (UE) 2022/868 del Parlamento europeo e del Consiglio, del 30 maggio 2022 si veda nelle note alle premesse.
articolo successivo