Osservatorio digitale

Parere del garante sullo schema di Linee guida Agid per l’accesso telematico ai servizi della pubblica amministrazione, ai sensi dell’art. 64-bis del d.lgs. 82/2005

Parere del garante sullo schema di Linee guida Agid per l’accesso telematico ai servizi della pubblica amministrazione, ai sensi dell’art. 64-bis del d.lgs. 82/2005

L’ AgID, con nota inviata in data 26 ottobre 2021, a integrazione di quelle precedentemente inviate in data 3 maggio, 14 giugno e 22 ottobre 2021, ha trasmesso al Garante, ai sensi dell’art. 71 del d.lgs. 7 marzo 2005, n. 82 (di seguito, CAD), lo schema di “Linee guida per accesso telematico ai servizi della Pubblica Amministrazione”, di cui all’art. 64-bis del medesimo CAD.

La struttura e il funzionamento del punto di accesso telematico

Lo schema di Linee guida in esame, che comprende anche 5 allegati, si occupa di definire le modalità di realizzazione e funzionamento del punto di accesso telematico, che è costituito dall’insieme dei sistemi e delle componenti tecnologiche sviluppate e gestite dal Gestore ai sensi dell’art. 64-bis del CAD per consentire ai soggetti di cui all'art. 2, comma 2, del CAD, e a quelli che ritengano di aderirvi previa stipula di apposita convenzione con il Gestore, (di seguito, Soggetti erogatori), di rendere disponibili agli utenti finali i propri servizi (di seguito, Servizi in rete). Il punto di accesso telematico – oltre a offrire una serie di funzionalità standard (messaggi, portafoglio, servizi e profilo), che possono essere anche incrementate in via facoltativa dal Gestore (par. 5.6 e all. 2 dello schema) – assicura l’integrazione con le piattaforme tecnologiche rilevanti per la digitalizzazione dei processi e dei servizi delle pubbliche amministrazioni (ad esempio, la Piattaforma PagoPA, gli indici di domicili digitali INI-PEC, IPA e INAD, e l’ANPR) (par. 5.5 e all. 3 dello schema).

Le previsioni in materia di protezione dei dati personali

Il capitolo 7 dello schema si occupa di definire alcuni aspetti relativi alla protezione dei dati personali trattati nell’ambito del punto di accesso telematico. In particolare, con riferimento ai ruoli assunti dai soggetti coinvolti nel trattamento, lo schema stabilisce che (par. 7.1) il Gestore è titolare dei trattamenti necessari a:

a) la progettazione, lo sviluppo, la gestione e l’implementazione del punto di accesso telematico, ivi incluse le attività volte a permettere l’interoperabilità con le piattaforme abilitanti, nonché quelle di assistenza, debugging e diagnostica, monitoraggio del funzionamento, miglioramento ed evoluzione dello stesso;

b) la realizzazione delle funzionalità e/o dei servizi resi direttamente dal Gestore su richiesta dell’utente finale, ivi incluse le attività finalizzate alla gestione in modo agevole e dinamico della propria relazione con i Soggetti erogatori per i servizi erogati;

c) lo svolgimento di altre attività che gli sono attribuite ai sensi di legge per l’esecuzione di compiti di interesse pubblico;

I Soggetti erogatori agiscono come titolari in relazione ai trattamenti effettuati nell’ambito dei Servizi in rete resi disponibili tramite il punto di accesso telematico (tranne quando, in qualità di Soggetti aggregatori, sono responsabili del trattamento per conto di altre amministrazioni) e il Gestore agisce in qualità di responsabile del trattamento (o, se del caso, di sub-responsabile del trattamento) per conto degli stessi, sulla base di un accordo ai sensi dell’art. 28 del Regolamento. Più in generale, lo schema individua misure volte ad assicurare il rispetto dei principi di minimizzazione dei dati, di limitazione della conservazione, di liceità, correttezza e trasparenza del trattamento, nonché l’esercizio dei diritti da parte degli interessati (parr. 7.4.1, 7.4.2 e 7.4.4 dello schema), specificando, altresì, che le comunicazioni di dati personali diversi da quelli di cui agli artt. 9 e 10 del Regolamento devono essere effettuate anche nel rispetto dell’art. 2-ter del Codice (par. 7.1 dello schema).

Inoltre, considerato che tramite il punto di accesso telematico potrebbero essere trattate anche categorie di dati personali di cui agli artt. 9 e 10 del Regolamento, è previsto che, in questi casi, siano adottate misure appropriate e specifiche per tutelare i diritti fondamentali e le libertà dell’interessato. L’invio di eventuali messaggi contenenti tali categorie particolari di dati personali deve essere richiesto dall’utente e il trattamento deve svolgersi unicamente laddove sia indispensabile per l’erogazione dei Servizi in rete forniti dai Soggetti erogatori ovvero di servizi altrimenti richiesti dagli utenti al Gestore (par. 7.3 dello schema). Il Gestore e i Soggetti erogatori sono chiamati a implementare le misure di sicurezza indicate nello schema (spec. all. 5), ferma restando la necessaria predisposizione di ogni misura tecnica e organizzativa adeguata a garantire un livello di sicurezza adeguato al rischio, ai sensi degli artt. 5, parr. 1, lett. f), e 2, e 32 del Regolamento. In ossequio ai principi di privacy by design e by default e con riferimento alla natura, al contesto e ai trattamenti connessi a uno specifico servizio in rete, il Gestore e il soggetto erogatore possono concordare misure tecniche e organizzative aggiuntive rispetto a quanto previsto nell’accordo stipulato ai sensi dell’art. 28 del Regolamento (parr. 7.2 e 7.5 dello schema).

Il Gestore può avvalersi di propri responsabili del trattamento, ai sensi dell’art. 28 del Regolamento, che deve indicare in un elenco da mettere a disposizione dei Soggetti erogatori. Nella scelta dei fornitori, il Gestore deve privilegiare, a parità di garanzie in materia di protezione dei dati personali, coloro che sono situati sul territorio nazionale e dell’Unione europea, in ogni caso istruendoli sulla necessità di conservare i dati all’interno dell’Unione stessa. Laddove ciò non fosse possibile, il Gestore può ricorrere a responsabili situati in Paesi terzi, richiedendo, ove possibile, l’implementazione di misure supplementari al fine di impedire l’identificazione dell’interessato da parte del responsabile e/o da autorità governative straniere. In generale, il Gestore è in ogni caso tenuto a rispettare le misure previste dal capo V del Regolamento, ponendo in essere le misure contrattuali necessarie anche per conto dei Soggetti erogatori (par. 7.4.5 dello schema).

Infine, il Gestore è tenuto a predisporre una valutazione di impatto sulla protezione dei dati da sottoporre a consultazione del Garante, e da mettere a disposizione dei Soggetti erogatori come ausilio alla valutazione d’impatto che gli stessi dovranno eventualmente sottoporre al Garante in caso di trattamenti caratterizzati da un rischio elevato in assenza di misure adottate per attenuare tale rischio (artt. 35 e 36, par. 1, del Regolamento).

Osservazioni

Lo schema di Linee guida in esame tiene conto delle indicazioni fornite dall’Ufficio, nel corso delle numerose interlocuzioni tenutesi con i rappresentati dell’Agenzia per l’Italia digitale e di PagoPA, volte a individuare opportune garanzie per assicurare la conformità al Regolamento e al Codice dei trattamenti dei dati personali effettuati nell’ambito del punto di accesso telematico, con particolare riferimento ai seguenti aspetti:

  • i ruoli assunti nel trattamento dal Gestore e dai Soggetti erogatori (par. 7.1 dello schema), nonché dai soggetti aggregatori e dai partner tecnologici (parr. 6.1.2 e 6.1.3 dello schema), al fine di assicurare il rispetto dei principi di liceità, correttezza e trasparenza e di limitazione della finalità di cui all’art. 5, par. 1, lett. a) e b), del Regolamento;
  • la descrizione delle attività di trattamento poste in essere nell’ambito del punto di accesso telematico, in ossequio al principio di liceità, correttezza e trasparenza di cui all’art. 5, par. 1, lett. a), del Regolamento;
  • le modalità di adesione al punto di accesso telematico da parte dei Soggetti erogatori, definendo anche i contenuti degli accordi di adesione (par. 6.1 e all. 1 dello schema), in conformità agli artt. 24 e 28 del Regolamento;
  • le garanzie da adottare in caso di trattamenti di categorie particolari di dati personali, di cui all’art. 9 del Regolamento, o di dati relativi a condanne penali e reati, di cui all’art. 10 del medesimo Regolamento (par. 7.3 dello schema);
  • le responsabilità del Gestore e dei Soggetti erogatori nella valutazione dei rischi derivanti dai trattamenti effettuati, da effettuarsi anche ai sensi degli artt. 35 e 36 del Regolamento (par. 7.4.3 dello schema);
  • le garanzie che il Gestore deve assicurare in caso di riscorso a responsabili del trattamento (par. 7.4.5 dello schema);
  • le misure volte ad assicurare un livello di sicurezza adeguato ai rischi presentati dal trattamento (par. 7.5 e all. 5 dello schema), con particolare riguardo al tracciamento delle interazioni con le altre piattaforme, nonché degli accessi e delle operazioni compiute dai soggetti autorizzati (parr. 5.5 e 7.5.5 dello schema), in ossequio al principio di integrità e riservatezza e nel rispetto degli obblighi in materia di sicurezza di cui agli artt. 5, par. 1, lett. f), e 32 del Regolamento;
  • il trattamento dei dati di contatto degli utenti, da effettuarsi nel rispetto dei principi di liceità, correttezza e trasparenza, di minimizzazione dei dati e di esattezza di cui all’art. 5, par. 1, lett. a), c) e d), del Regolamento;
  • l’individuazione di misure volte ad agevolare l’esercizio dei diritti da parte degli interessati, nel rispetto degli artt. 12 e ss. del Regolamento (all. 2, par. 5, dello schema);
  • le modalità di integrazione del punto di accesso telematico con le piattaforme digitali previste dal CAD e da altre normative specifiche, nel rispetto dei principi di liceità, correttezza e trasparenza e di limitazione della finalità di cui all’art. 5, par. 1, lett. a) e b), del Regolamento (all. 3 dello schema);
  • le garanzie e le misure da adottare, nell’ambito dell’App IO, per l’utilizzo di sessioni utente di lunga durata, a seguito di autenticazione informatica tramite SPID o CIE, e per l’accesso ai servizi gestiti dai Soggetti erogatori tramite un meccanismo di federated identity (eventualmente anche con modalità single sign-on), che saranno individuate dall’AgID nell’ambito di apposite regole tecniche (all. 2, par. 1, dello schema).

Conclusioni

Ai sensi degli artt. 36, par. 4, e 57, par. 1, lett. c), del Regolamento, il Garante esprime parere favorevole sullo schema di “Linee guida per accesso telematico ai servizi della Pubblica Amministrazione” di cui all’art. 64-bis del d.lgs. 7 marzo 2005, n. 82, predisposto dall’Agenzia per l’Italia digitale ai sensi dell’art. 71 del medesimo d.lgs. 7 marzo 2005, n. 82.

Approfondisci

 

Articoli Correlati

UFFICIO TELEMATICO