Come noto, il Data Governance Act disciplina la governance europea dei dati e ha l'obiettivo di regolamentare il riutilizzo dei dati pubblici e protetti, incentivando la condivisione dei dati attraverso nuovi intermediari e promuovendo iniziative altruistiche.
Il decreto designa, all'art. 2, l'Agenzia per l'Italia Digitale (AgiD) quale autorità competente per l'intermediazione dei dati e stabilisce le sanzioni per le violazioni del Regolamento (UE) 2022/868.

Compito dell'AgID sarà quello di svolgere la propria attività in maniera imparziale, trasparente, coerente, affidabile e tempestiva, salvaguardando, nell'esercizio della propria attività, la concorrenza leale e la non discriminazione e in conformità agli ulteriori requisiti di cui all'art. 26 del Regolamento. L'AgID – si legge nel testo del decreto - opera in stretta e leale cooperazione con l'Agenzia per la cybersicurezza nazionale, l'Autorità garante della concorrenza e del mercato e il Garante per la protezione dei dati personali e, a tal fine, può stipulare con gli stessi specifici accordi di collaborazione non onerosi.

Nello specifico, l'AgID avrà anche il compito di:

• stabilire, insieme alle altre autorità competenti, disposizioni tecniche e organizzative per facilitare l'altruismo dei dati e fornire le informazioni necessarie agli interessati sul riutilizzo dei loro dati;
• monitorare e controllare la conformità dei fornitori di servizi di intermediazione ai requisiti del capo III del Regolamento;
• controllare la conformità delle organizzazioni per l'altruismo dei dati alle prescrizioni del capo IV del Regolamento;
• assistere gli enti pubblici nella concessione o nel rifiuto dell'accesso ai dati di cui all'art. 3, paragrafo 1, e garantire l'accesso ai dati per il riutilizzo, ai sensi dell'art. 7, paragrafo 2;
• pperare come sportello unico, estendendo le funzioni del punto d'accesso garantito dal catalogo nazionale dei dati aperti.

Il decreto prevede specifiche violazioni per le quali l'Agenzia per l'Italia Digitale può adottare sanzioni amministrative, tra queste si segnalano:

• violazione degli obblighi relativi al trasferimento di dati non personali a Paesi terzi;
• violazione dell'obbligo di notifica per i fornitori di servizi di intermediazione dei dati;
• violazione delle condizioni per la fornitura di servizi di intermediazione dei dati;
• violazione delle condizioni per la registrazione come organizzazione per l'altruismo dei dati.

Le sanzioni pecuniarie variano da 10.000 a 100.000 euro, o, per le imprese, fino al 6% del fatturato mondiale annuo dell'anno precedente.

Le sanzioni dovranno essere effettive, proporzionate e dissuasive, tenendo conto della gravità e della durata della violazione, delle azioni intraprese per ridurre il danno, di eventuali precedenti violazioni, dei vantaggi finanziari ottenuti e di altri fattori rilevanti.