DGA — Regolamento (UE) 2022/868¶
Regolamento sulla governance europea dei dati (Data Governance Act, DGA). Stabilisce un quadro orizzontale per (a) il riutilizzo all'interno dell'Unione di determinate categorie di dati protetti detenuti da enti pubblici (riservatezza commerciale, statistica, proprietà intellettuale, dati personali); (b) un regime di notifica e controllo per i fornitori di servizi di intermediazione dei dati; (c) un quadro per la registrazione volontaria delle organizzazioni che raccolgono e trattano dati per finalità altruistiche (altruismo dei dati); (d) l'istituzione del Comitato europeo per l'innovazione in materia di dati (European Data Innovation Board, EDIB). È il primo pilastro della European data strategy della Commissione, integrato dal successivo Data Act. Si applica a fianco di GDPR (per i dati personali), AI Act (per gli usi nei sistemi di IA) e PLD (per profili di responsabilità connessi a dati e dataset difettosi).
Identificativi¶
| Campo | Valore |
|---|---|
| Titolo ufficiale | Regolamento (UE) 2022/868 del Parlamento europeo e del Consiglio, del 30 maggio 2022, relativo alla governance europea dei dati e che modifica il regolamento (UE) 2018/1724 (Regolamento sulla governance dei dati) |
| CELEX | 32022R0868 |
| ELI | http://data.europa.eu/eli/reg/2022/868/oj |
| Pubblicazione | GU L 152 del 3.6.2022, pag. 1 |
| Adozione | 30 maggio 2022 |
| Entrata in vigore | 23 giugno 2022 |
| Applicazione | 24 settembre 2023 |
| Atto modificato | Regolamento (UE) 2018/1724 (sportello digitale unico) |
| Base giuridica | Articolo 114 TFUE |
| Tipo di atto | Regolamento — direttamente applicabile in tutti gli Stati membri |
Struttura¶
9 capi · 38 articoli · 63 considerando · nessun allegato.
| Capo | Argomento | Articoli |
|---|---|---|
| I | Disposizioni generali | 1 – 2 |
| II | Riutilizzo di determinate categorie di dati protetti detenuti da enti pubblici | 3 – 9 |
| III | Requisiti applicabili ai servizi di intermediazione dei dati | 10 – 15 |
| IV | Altruismo dei dati | 16 – 25 |
| V | Autorità competenti e disposizioni procedurali | 26 – 28 |
| VI | Comitato europeo per l'innovazione in materia di dati | 29 – 30 |
| VII | Accesso internazionale e trasferimento | 31 |
| VIII | Delega e procedura di comitato | 32 – 33 |
| IX | Disposizioni finali e transitorie | 34 – 38 |
Ambito di applicazione¶
Materiale (art. 1, par. 1): si applica alle norme su (a) condizioni di riutilizzo all'interno dell'Unione di determinate categorie di dati protetti detenuti da enti pubblici; (b) regime di notifica e controllo per la fornitura di servizi di intermediazione dei dati; (c) quadro per la registrazione volontaria delle entità che raccolgono e trattano dati messi a disposizione a fini altruistici; (d) istituzione del Comitato europeo per l'innovazione in materia di dati (EDIB).
Soggettivo (art. 1, par. 1; capi II-IV): si applica a enti pubblici dell'Unione che detengono dati protetti, a fornitori di servizi di intermediazione dei dati che operano nell'Unione (a prescindere dal luogo di stabilimento, art. 11) e alle organizzazioni per l'altruismo dei dati riconosciute. Il regolamento non crea l'obbligo per gli enti pubblici di consentire il riutilizzo dei dati né li esenta dai loro obblighi di riservatezza (art. 1, par. 2): è un quadro orizzontale di condizioni che si applicano se e quando il riutilizzo è previsto dal diritto dell'Unione o nazionale.
Salvaguardie e coordinamento (art. 1, par. 3-5): è espressamente senza pregiudizio del diritto UE e nazionale in materia di protezione dei dati personali (in particolare GDPR, regolamento (UE) 2018/1725 e direttive 2002/58/CE e (UE) 2016/680); in caso di conflitto prevale il pertinente diritto sui dati personali. Il DGA non crea una base giuridica per il trattamento di dati personali e non incide sui diritti e sugli obblighi GDPR. Lascia impregiudicata l'applicazione del diritto della concorrenza e le competenze degli Stati membri in materia di sicurezza pubblica, difesa e sicurezza nazionale.
Cross-reference quintuple con AI Act, GDPR, Data Act e PLD¶
Il DGA interagisce simultaneamente con quattro altri atti UE oggetto di pagine dedicate in questa sezione: l'AI Act (per la data governance dei sistemi di IA), il GDPR (per la dimensione dei dati personali e per i rinvii definitori), il Data Act (atto-fratello del pacchetto-dati UE) e la PLD (per la qualificazione del «dato» e per la responsabilità su sistemi addestrati su dataset condivisi).
Asse DGA ↔ AI Act (governance dei dati per sistemi di IA)¶
| DGA | AI Act | Natura dell'intersezione |
|---|---|---|
| Considerando 2, 3, 5 | Tutto l'AI Act, in particolare art. 10 | Il DGA è infrastruttura orizzontale di governance dei dati; i dati riutilizzati a norma DGA possono costituire fonte legittima per la data governance dei sistemi IA ad alto rischio (qualità, rappresentatività, bias monitoring) |
| Capo II — artt. 3-9 | AI Act, art. 10 (data and data governance); art. 59 (sandbox normativi) | Riutilizzo di dati pubblici protetti per scopi di ricerca, anche per addestramento di modelli IA: le condizioni DGA (anonimizzazione, pseudonimizzazione, dati sintetici, ambiente di trattamento sicuro — art. 5) e le condizioni AI Act per i sistemi ad alto rischio si cumulano |
| Art. 2, punto 20 («ambiente di trattamento sicuro»); art. 5, par. 6 | AI Act, art. 57 (sandbox); art. 59 (trattamento dati personali nel sandbox) | I requisiti di «ambiente di trattamento sicuro» del DGA confluiscono operativamente nei criteri tecnici per i sandbox normativi IA, in cui dati pubblici protetti possono essere trattati per testare sistemi IA ad alto rischio |
| Capo IV — artt. 16-25 (altruismo dei dati); art. 25 (modulo europeo di consenso) | AI Act, art. 10, par. 5; art. 27 (FRIA) | I dati ottenuti tramite consenso altruistico possono costituire fonte per bias monitoring e fundamental rights impact assessment (FRIA), nei limiti del consenso GDPR e del modulo europeo (atto di esecuzione della Commissione) |
| Capo VI — artt. 29-30 (EDIB) | AI Act, art. 65 (Comitato europeo per l'IA); art. 66 | EDIB e Comitato europeo per l'IA sono organi distinti ma operano in coordinamento sui dossier intersettoriali; l'EDIB ha competenza sui contributi tecnici alla governance dei dati che alimentano l'ecosistema IA (interoperabilità, spazi di dati, standard) |
Asse DGA ↔ GDPR (carve-out, definizioni, condivisione)¶
| DGA | GDPR | Natura dell'intersezione |
|---|---|---|
| Art. 1, par. 3; considerando 4 | Tutto il GDPR | Clausola di salvaguardia: il DGA è senza pregiudizio del GDPR; in caso di conflitto prevale il GDPR; il DGA non crea una base giuridica per il trattamento di dati personali |
| Art. 2, punto 3 («dati personali») | GDPR, art. 4, punto 1 | Definizione: rinvio definitorio diretto |
| Art. 2, punto 5 («consenso») | GDPR, art. 4, punto 11; art. 7 | Definizione: rinvio definitorio diretto al consenso GDPR |
| Art. 2, punto 7 («interessato») | GDPR, art. 4, punto 1 | Definizione: rinvio definitorio diretto |
| Art. 2, punto 12 («trattamento») | GDPR, art. 4, punto 2 | Definizione: rinvio definitorio diretto |
| Capo II — artt. 3-9, in particolare art. 5, par. 3-13 | GDPR, artt. 5, 6, 9; art. 25 (privacy by design) | Riutilizzo di dati pubblici protetti che includono dati personali: l'ente pubblico deve garantire anonimizzazione, pseudonimizzazione, riservatezza, ambiente sicuro, accordi di riservatezza e divieto di re-identificazione; le condizioni DGA si cumulano con la base giuridica e i principi GDPR |
| Capo III — artt. 10-15 (servizi di intermediazione dei dati); art. 12 (condizioni di fornitura) | GDPR, artt. 7, 12-22 | Servizi di intermediazione che coinvolgono dati personali devono operare a beneficio dell'interessato, con separazione strutturale delle attività dal data user, neutralità rispetto ai dati intermediati e divieto di monetizzazione dei dati personali |
| Capo IV — artt. 16-25 (altruismo dei dati); art. 25 (modulo europeo di consenso) | GDPR, artt. 6, 7, 9; art. 13; art. 14 | Il consenso altruistico è raccolto tramite modulo europeo di consenso all'altruismo dei dati (atto di esecuzione della Commissione) ed è subordinato a tutte le condizioni GDPR per la validità del consenso (libertà, specificità, informazione, revocabilità) |
Asse DGA ↔ Data Act (atti-fratelli del pacchetto-dati UE)¶
DGA (2022) e Data Act (2023) sono i due atti-fratelli della European data strategy: il DGA introduce un quadro orizzontale di governance per il riutilizzo, l'intermediazione e l'altruismo dei dati; il Data Act ne estende l'ambito ai dati di prodotti connessi (IoT) e regola la condivisione B2C, B2B, B2G e il cloud switching. I due regolamenti operano in modo cumulativo e sono progettati per essere coerenti.
| DGA | Data Act | Natura dell'intersezione |
|---|---|---|
| Tutto il DGA | Considerando 1, 32, 90; intero impianto | Il Data Act dichiara espressamente di integrare e non sostituire il DGA: insieme costituiscono il quadro UE sulla governance e sull'accesso ai dati |
| Capo III — artt. 10-15 (intermediazione) | Capo II — artt. 3-7 (B2C/B2B); capo VI — artt. 23-31 (switching cloud) | I servizi di intermediazione DGA operano in coordinamento con la condivisione B2C/B2B e con il cloud switching del Data Act: requisiti di interoperabilità, neutralità del fornitore e portabilità si applicano in modo coerente |
| Capo IV — artt. 16-25 (altruismo) | Capo II; capo V — artt. 14-22 (B2G in necessità eccezionali) | Le organizzazioni per l'altruismo dei dati possono raccogliere e mettere a disposizione dati che ricadono nei meccanismi del Data Act (es. dati di prodotti connessi forniti dall'utente con consenso) |
| Capo VI — artt. 29-30 (EDIB) | Capo VIII — artt. 33-36 (interoperabilità); capo IX (attuazione ed esecuzione) | L'EDIB consiglia la Commissione su norme di interoperabilità degli spazi comuni europei di dati, a cui il Data Act dà attuazione operativa attraverso common standards, open interoperability specifications e codici di condotta |
| Art. 2, punti 1, 6 («dati», «autorizzazione») | Art. 2, punti 1, 16 («dati», «metadati») | Le definizioni base sono allineate; il Data Act estende il vocabolario con concetti operativi (prodotto connesso, servizio correlato, metadati) che presuppongono il quadro DGA |
Asse DGA ↔ PLD (qualità dei dati e responsabilità del prodotto)¶
L'intersezione DGA ↔ PLD è meno frequente in senso letterale ma significativa per i sistemi di IA addestrati su dati condivisi a norma DGA: i difetti del dataset possono propagarsi nel comportamento del sistema e quindi nella valutazione di difettosità ai fini PLD.
| DGA | PLD | Natura dell'intersezione |
|---|---|---|
| Capo II — artt. 3-9 (riutilizzo dati pubblici protetti); art. 5, par. 1-2 (condizioni di riutilizzo) | PLD, considerando 13; art. 7, par. 2 (presunzione di difettosità) | Dati pubblici riutilizzati per addestramento di sistemi di IA: il rispetto delle condizioni DGA (qualità, completezza, non discriminazione) concorre a determinare la non difettosità del prodotto; specularmente, dataset incompleti o distorti possono integrare la difettosità del sistema IA risultante |
| Capo IV — artt. 16-25 (altruismo dei dati) | PLD, art. 4, punto 6 (definizione «dati» — rinvia al Reg. (UE) 2022/868) | La PLD richiama espressamente la definizione DGA di «dati»: i dati raccolti tramite altruismo entrano nel perimetro PLD se diventano componente di un prodotto digitale o di un sistema IA difettoso |
| Art. 5, par. 9-13; capo VII — art. 31 (trasferimento internazionale di dati non personali) | PLD, considerando 18, 50; art. 11 (esonero «defectiveness came after marketed») | Il trasferimento extra-UE di dati non personali (DGA capo VII) interferisce con il controllo continuativo del fabbricante sul prodotto: la responsabilità PLD non si estingue se dataset o modelli vengono delocalizzati al di fuori del perimetro di controllo effettivo del fabbricante |
| Art. 11 (notifica e requisiti per i fornitori di servizi di intermediazione) | PLD, art. 8 (operatori responsabili) | I fornitori di servizi di intermediazione dei dati non sono di per sé «fabbricanti» ai fini PLD; possono però rientrare nel perimetro PLD se integrano servizi correlati o componenti software in un prodotto difettoso |
Quintetto definitorio¶
Cinque nozioni chiave attraversano simultaneamente i cinque atti, con il GDPR come fonte primaria per i dati personali e il DGA come fonte autonoma per le definizioni di intermediazione e altruismo dei dati:
| Concetto | DGA | AI Act | GDPR (fonte) | Data Act | PLD |
|---|---|---|---|---|---|
| Dati personali | art. 2, punto 3 | art. 3, punto 50 | art. 4, punto 1 | art. 2, punto 3 | art. 4, punto 6 (rinvia al DGA) |
| Interessato | art. 2, punto 7 | (rinvio implicito al GDPR) | art. 4, punto 1 | art. 2, punto 11 | n/a |
| Trattamento | art. 2, punto 12 (rinvia a GDPR e Reg. (UE) 2018/1807) | (richiamato in più capi) | art. 4, punto 2 | n/a | n/a |
| Consenso | art. 2, punto 5 (rinvia al GDPR) | (rinvio operativo al GDPR per dati personali) | art. 4, punto 11; art. 7 | n/a | n/a |
| Servizio di intermediazione / fornitore | art. 2, punto 11 | art. 3, punti 3, 4 (provider, deployer) | art. 4, punto 8 (responsabile) | art. 2, punti 13, 14 (titolare/destinatario dei dati) | art. 4, punto 10 (fabbricante) |
La tabella copre i rinvii diretti. Cross-reference operative più estese (rapporti con DSA, Cyber Resilience Act, NIS2 e con il Single Digital Gateway — atto modificato dal DGA) saranno oggetto di approfondimenti dedicati nelle sezioni Soft law e Risorse via via che le pagine corrispondenti verranno pubblicate.
Modifiche e rettifiche¶
Il testo originario del 30 maggio 2022 è in vigore dal 23 giugno 2022 e si applica dal 24 settembre 2023. Alla data di pubblicazione di questa scheda non risultano rettifiche pubblicate in Gazzetta Ufficiale UE. Eventuali rettifiche o atti di esecuzione/delegati adottati dalla Commissione (in particolare il modulo europeo di consenso all'altruismo dei dati ai sensi dell'art. 25 e i common standards di interoperabilità ai sensi dell'art. 30) saranno integrati nelle revisioni successive di questa pagina.
Stato di applicabilità¶
Il DGA è entrato in vigore il 23 giugno 2022 e si applica integralmente a decorrere dal 24 settembre 2023 (art. 38). Per i fornitori di servizi di intermediazione dei dati che già operavano alla data di entrata in vigore è previsto un regime transitorio fino al 24 settembre 2025 (art. 11, par. 1). Il regolamento è direttamente applicabile in tutti gli Stati membri senza necessità di atti di recepimento; gli Stati membri designano le autorità competenti per i servizi di intermediazione dei dati (art. 13) e per le organizzazioni per l'altruismo dei dati (art. 23). Il DGA modifica inoltre il Regolamento (UE) 2018/1724 sullo sportello digitale unico, integrandone l'allegato relativo ai servizi disponibili online (art. 35).
Termini correlati nel glossario¶
Voci del glossario AI-centric rilevanti per questo atto:
Fonti ufficiali¶
- EUR-Lex — versione italiana (CELEX 32022R0868)
- EUR-Lex — versione inglese (CELEX 32022R0868)
- EUR-Lex — European Legislation Identifier (ELI)
- Commissione europea — European data strategy
- Commissione europea — pagina dedicata al Data Governance Act
- European Data Innovation Board (EDIB)
- EDPB e GEPD — parere congiunto 03/2021 del 10 marzo 2021 sulla proposta DGA
Indice della sezione¶
- Considerando — testo integrale dei 63 considerando in versione bilingue
- Testo del regolamento — tutti gli articoli organizzati per capo:
- Capo I — Disposizioni generali (artt. 1-2)
- Capo II — Riutilizzo di determinate categorie di dati protetti detenuti da enti pubblici (artt. 3-9)
- Capo III — Requisiti applicabili ai servizi di intermediazione dei dati (artt. 10-15)
- Capo IV — Altruismo dei dati (artt. 16-25)
- Capo V — Autorità competenti e disposizioni procedurali (artt. 26-28)
- Capo VI — Comitato europeo per l'innovazione in materia di dati (artt. 29-30)
- Capo VII — Accesso internazionale e trasferimento (art. 31)
- Capo VIII — Delega e procedura di comitato (artt. 32-33)
- Capo IX — Disposizioni finali e transitorie (artt. 34-38)