Data Governance Act (DGA): Riutilizzo dei Dati Pubblici e Intermediari 2026
Data Governance Act (Reg. UE 2022/868): riutilizzo dei dati del settore pubblico, servizi di intermediazione dati, data altruism e Common European Data Spaces. Guida per aziende tech e startup che lavorano con dati di terzi.
Ordine degli Avvocati di Sciacca n. 747 · Avvocato & Sviluppatore · IT Law
Nota metodologica. La presente analisi è aggiornata al 17 giugno 2026. Il Regolamento (UE) 2022/868 (Data Governance Act) è in vigore dal 23 giugno 2022 ed è applicabile dal 24 settembre 2023. Il registro europeo dei servizi di intermediazione dati e delle organizzazioni di data altruism è operativo dal 2024. Il contenuto ha finalità esclusivamente informativa e non costituisce parere legale.
Fonti primarie: Reg. UE 2022/868 (DGA), EUR-Lex · EU Commission, DGA · DGA Practical Guide
Il Data Governance Act si applica alla mia startup dati? Devo registrarmi come intermediario dati?
Il DGA si applica a tre categorie di soggetti: (1) enti pubblici che mettono a disposizione dati protetti per riutilizzo; (2) provider di servizi di intermediazione dati (data marketplace, data sharing platforms, data cooperatives), che devono notificare la loro attività alla Commissione UE e rispettare requisiti organizzativi specifici; (3) organizzazioni di data altruism, che possono registrarsi volontariamente come tali. I servizi di intermediazione devono garantire neutralità, trasparenza e separazione dei dati. Le sanzioni per violazione delle norme sull'intermediazione dati raggiungono il 4% del fatturato mondiale annuo. Il DGA è applicabile dal 24 settembre 2023.
1. Cosa regola il Data Governance Act
Il DGA è il primo pilastro della strategia europea per i dati (seguito dal Data Act e dal Data Free Flow with Exceptions). Il suo obiettivo è aumentare la fiducia nella condivisione dei dati creando meccanismi affidabili per il riutilizzo dei dati del settore pubblico e per i servizi di intermediazione dati.
Il DGA non modifica il GDPR: quando i dati oggetto di condivisione contengono dati personali, il GDPR continua ad applicarsi integralmente. Il DGA si occupa della governance della condivisione, non della protezione dei dati in sé.
2. Riutilizzo dei dati del settore pubblico (Artt. 3-9)
Il DGA stabilisce condizioni uniformi per il riutilizzo di dati detenuti da enti pubblici che sono protetti da diritti altrui, come:
| Tipo di dato protetto | Esempi |
|---|---|
| Dati coperti da IPR | Banche dati protette da diritto d'autore o diritto sui generis del costruttore di database |
| Segreti commerciali | Know-how, informazioni commerciali riservate |
| Dati personali | Dati sanitari, fiscali, previdenziali previa anonimizzazione o pseudonimizzazione |
| Dati statistici riservati | Dati raccolti da ISTAT, Eurostat e istituti di statistica |
Gli enti pubblici che consentono il riutilizzo devono:
- Rendere le condizioni di riutilizzo trasparenti, proporzionate e non discriminatorie
- Prevedere un termine massimo per la decisione sulla richiesta di riutilizzo (2 mesi, prorogabili a 4)
- Istituire un punto di contatto unico per le richieste di riutilizzo
- Applicare tariffe basate sui costi marginali di riproduzione e diffusione (con possibilità di costi maggiori per dati complessi)
Gli organismi di ricerca e le istituzioni di istruzione possono beneficiare di tariffe ridotte o gratuite per il riutilizzo di dati per finalità di ricerca scientifica.
3. Servizi di intermediazione dati (Artt. 10-14)
I servizi di intermediazione dati sono i soggetti che facilitano la condivisione dei dati tra titolari e fruitori. Il DGA li classifica in tre tipologie:
| Tipo | Funzione | Esempi |
|---|---|---|
| Intermediazione B2B | Piattaforme che mettono in contatto titolari e utilizzatori di dati | Data marketplace, data exchange platforms |
| Intermediazione con interessati GDPR | Piattaforme che gestiscono il consenso e l'esercizio dei diritti per conto degli interessati | GDPR consent management platforms, personal data stores |
| Data cooperatives | Organizzazioni di titolari/interessati che mettono in comune i propri dati per finalità comuni | Agricoltori che condividono dati di produzione, cooperative di dati sanitari |
Requisiti per i provider di servizi di intermediazione (Art. 12):
- Neutralità: non possono utilizzare i dati intermediati per propri scopi commerciali (es. addestramento AI)
- Separazione: gli intermediari non possono vendere i dati a terzi o utilizzarli per finalità diverse dalla messa in condivisione
- Trasparenza: condizioni chiare per il titolare e il fruitore dei dati
- Accessibilità: procedure semplici per l'adesione e la recedibilità
I provider devono notificare la loro attività alla Commissione UE tramite il registro ufficiale (Art. 11) prima di iniziare l'attività.
4. Data altruism (Artt. 16-28)
Le organizzazioni che raccolgono e condividono dati su base volontaria per finalità di interesse generale (es. ricerca sanitaria, monitoraggio ambientale, mobilità sostenibile) possono registrarsi come "organizzazioni di data altruism riconosciute".
I requisiti includono:
- Finalità di interesse generale chiaramente dichiarate
- Struttura di governance trasparente e senza scopo di lucro
- Sistema di consenso/documentazione dei permessi di condivisione dati
- Obblighi di trasparenza verso i donatori di dati e verso il pubblico
La registrazione come organizzazione di data altruism è volontaria (non obbligatoria), ma offre un marchio di fiducia europeo che facilita la raccolta di dati da cittadini e imprese.
5. Common European Data Spaces
Il DGA fornisce la cornice giuridica per la creazione dei Common European Data Spaces (CEDS) in settori strategici:
| Spazio dati | Settore | Stato (2026) |
|---|---|---|
| European Health Data Space (EHDS) | Sanità | Regolamento approvato 2025, applicazione progressiva |
| Industrial/Manufacturing | Manifatturiero | In fase di implementazione |
| Green Deal Data Space | Ambiente, energia, clima | Operativo dal 2025 |
| Mobility Data Space | Trasporti e mobilità | In fase di implementazione |
| European Data Space for Tourism | Turismo | Pilota completato |
6. Sanzioni
| Violazione | Sanzione |
|---|---|
| Violazione norme su servizi di intermediazione dati | Fino al 4% del fatturato mondiale annuo |
| Altre violazioni del Regolamento | Determine dagli Stati membri (in Italia: D.Lgs. attuativo) |
7. Cosa fare subito
- Identificare se l'impresa è un servizio di intermediazione dati ai sensi dell'Art. 10 DGA e, in caso affermativo, procedere alla notifica alla Commissione UE
- Startup dati: valutare il regime di data altruism per iniziative di condivisione dati nel settore sanitario, ambientale o della ricerca
- Enti pubblici: istituire il punto di contatto unico per le richieste di riutilizzo dei dati e definire le condizioni di riutilizzo
- Aziende che utilizzano dati pubblici: verificare le condizioni di riutilizzo applicabili e i termini per la richiesta di accesso
Domande Frequenti (FAQ)
Qual è la differenza tra DGA e Data Act? Il DGA regola la governance della condivisione dei dati (i "chi" e "come" della condivisione), mentre il Data Act regola l'accesso e l'uso dei dati generati da prodotti connessi (i "quali" dati sono accessibili). Il DGA si applica a tutti i tipi di dati (pubblici, privati, personali, non personali); il Data Act si concentra sui dati IoT generati da prodotti e servizi connessi.
Un data marketplace tra imprese è soggetto a DGA? Sì, se opera come servizio di intermediazione dati tra titolari e fruitori. Deve notificare l'attività alla Commissione UE e rispettare i requisiti di neutralità (non utilizzare i dati per propri scopi), separazione e trasparenza. La mancata notifica espone a sanzioni fino al 4% del fatturato mondiale.
Il DGA si applica ai dati personali trattati da una piattaforma SaaS? Il DGA non modifica il GDPR. Una piattaforma SaaS che tratta dati personali per conto dei propri clienti deve rispettare il GDPR (DPA, Art. 28) e le normative specifiche del settore. Il DGA si applica se la piattaforma SaaS opera anche come intermediario dati (es. mette in contatto i propri clienti per condividere dati tra loro). In tal caso, si applicano entrambi i regimi.
Chi vigila sul rispetto del DGA in Italia? In Italia, l'autorità competente per i servizi di intermediazione dati non è ancora stata formalmente designata con un provvedimento specifico. La Commissione UE mantiene il registro europeo dei provider di servizi di intermediazione e delle organizzazioni di data altruism, e le sanzioni sono irrogate dall'autorità nazionale designata da ciascuno Stato membro.
Approfondimenti consigliati:
- Data Act: Obblighi per Aziende Tech e IoT
- DSA (Digital Services Act): Obblighi per Piattaforme e Startup
- GDPR e AI Act: Compliance per SaaS e Startup
- Trasferimento Dati Extra-UE: Regole GDPR 2026
Fonti: Reg. UE 2022/868 (DGA), EUR-Lex; EU DGA Guide; EU Commission, DGA explained.
Autore
Avvocato iscritto all'Ordine di Sciacca (n. 747), specializzato in diritto delle tecnologie e privacy. Prima dell'attività forense ha sviluppato applicazioni web e architetture cloud, competenza che porta nell'analisi tecnico-giuridica di prodotti digitali, SaaS e sistemi AI. Assiste aziende e startup nell'adeguamento a GDPR, AI Act, NIS2 e DORA.
Profilo completo e competenze