Il nuovo Piano Triennale ICT 2022-2024, pubblicato qualche giorno fa sul sito di AGID, riprende il principio “once only” quando afferma che “Per semplificare e agevolare l’utilizzo del servizio è necessario favorire l’applicazione del principio once only, richiedendo agli utenti i soli dati non conosciuti dalla Pubblica Amministrazione e, per questi, assicurandone la validità ed efficacia probatoria nei modi previsti dalla norma, anche attraverso scambi di dati nei modi previsti dal Modello di Interoperabilità per la PA indicato nel Capitolo 5″.
In realtà nell’ordinamento italiano non esiste ancora una definizione univoca di “once only”, tanto che in alcuni documenti si leggono anche definizioni diverse, secondo cui il cittadino o l’impresa non “dovrà fornire più volte le stesse informazioni ad enti diversi, basterà comunicarle una sola volta”, dando così l’impressione che ci sia almeno una sorta di “prima comunicazione”, che servirà da punto di partenza per tutte le altre successive.
Agid: “il nostro Piano triennale per l’informatica nella PA 2022-2024, ecco i punti chiave”
Le pubbliche amministrazioni sanno già tutto
Invece è importante essere chiari su un punto: i dati di cittadini ed imprese sono già contenuti nei pubblici registri e nelle banche dati di interesse nazionali – cioè l’insieme delle informazioni raccolte e gestite digitalmente dalle pubbliche amministrazioni, omogenee per tipologia e contenuto e la cui conoscenza è rilevante per lo svolgimento delle funzioni istituzionali delle altre pubbliche amministrazioni, di cui all’art. 60 del CAD – quindi la definizione più adeguata è quella del Piano Triennale ICT.
Il passo successivo è quello di immaginarsi come possa avvenire la condivisione dei dati nei servizi pubblici, per esempio al momento della presentazione di una domanda di iscrizione ad una scuola, piuttosto che per un’esenzione dal pagamento di un tributo.
Su questo tema, di recente è stato pubblicato un articolo molto interessante sul design dei servizi pubblici (“service design”), in cui si descrivono le fasi per il disegno di un servizio partendo dalle esigenze dell’utente e di conseguenza individuando tasks precisi per chi si occupa della progettazione e dello sviluppo.
In questa immagine si possono visualizzare le interazioni del cittadino con il portale (ultime 2 righe partendo dal basso):
(Fonte: Marco Maria Pedrazzo – Una grammatica dei servizi pubblici digitali)
Come migliorare e ottimizzare l’inserimento dei dati mancanti
In un’ottica di processo digitale, è necessario porsi qualche domanda: partendo dal presupposto che è assodata la visualizzazione dei dati pre-esistenti (ES: i dati acquisiti dalla mia identità SPID o CIE), e anche l’inserimento di eventuali scelte dell’utente relative al servizio (tipo di scuola, orario, ecc.) – che costituiscono proprio la manifestazione di volontà del richiedente – come possiamo migliorare e ottimizzare l’inserimento dei dati mancanti?
In questo momento, a tutti noi sarà capitato di dover reinserire”enne” mila volte le nostre informazioni anagrafiche, di residenza o stato di famiglia, o altro; possiamo evitare questo passaggio? Tenendo conto che tutti questi dati – per fare un esempio facile – sono già contenuti e certificati nell’Anagrafe Nazionale (ANPR)?
Un passaggio epocale
Ci troviamo proprio di fronte a questo passaggio epocale, che dà l’occasione per approfondire la progettazione del modello con alcune domande in più:
- ci sono dati del richiedente già presenti in banche dati pubbliche che sono utili alla compilazione della richiesta?
- se sì, in quali banche dati?
- le banche dati individuate hanno pubblicato i loro dataset sulla Piattaforma Nazionale PDND?
- in quale modo possiamo rendere operativo il collegamento?
Il nodo della trasparenza
La modalità con cui il richiedente possa o debba avere contezza del fatto che i suoi dati vengano “automaticamente” inseriti nel modello che sta compilando, e le possibili soluzioni sono ancora oggetto di ricerca: secondo Marco Maria Pedrazzo, autore dell’articolo sul service design citato sopra, le valutazioni possono essere diverse:
“Da un estremo, si può massimizzare la comodità di rendere tutto automatico (pro), che si porta con sé la percezione di una “black-box” (potenziale contro, per l’utente). Dall’altro, si può massimizzare anche in interfaccia, non solo nell’infrastruttura, la trasparenza e il controllo totale per l’utente (pro). In questo caso, ad esempio, l’utente richiama in modo esplicito i dati esistenti in interoperabilità, campo per campo, accettando che vengano ricercati su altre banche dati pubbliche, con la conseguente frizione nell’interfaccia (potenziale contro per l’utente).
Ci sono pochi dati in merito a quale sia la strada corretta (probabilmente una via di mezzo), ma certamente dovrà essere oggetto di test e valutazioni approfondite.”
La tutela dei dati personali
Dal punto di vista della tutela dei dati personali, non ci dovrebbero essere problemi particolari, soprattutto nel caso in cui i dati siano riferiti al richiedente: quindi si tratterebbe di esercitare il diritto di accessi ai propri dati – garantito dal GDPR – a cui si collega l’utilizzo in una dichiarazione; nel caso invece in cui siano utilizzati dati di altri nella dichiarazione, potrà invece essere necessario un sistema per la richiesta di autorizzazione espressa.
Certo è che il momento di farsi queste domande è proprio adesso, tenendo conto che i Comuni si stanno avviando alla fase di sviluppo per l’attuazione del bando PNRR sull’Esperienza del Cittadino, in cui il principio “once only” è uno dei requisiti.
Un parallelo con la normativa europea
Proseguendo nell’analisi, facciamo anche un parallelo con la normativa europea, in cui troviamo un recente Regolamento – 2022/1463, del 5 agosto 2022 – che contiene le “specifiche tecniche e operative del sistema tecnico per lo scambio transfrontaliero automatizzato di prove e l’applicazione del principio«una tantum» a norma del regolamento (UE) 2018/1724 del Parlamento” (che riguarda il Single Digital Gateway), in cui all’art 14 si elencano le finalità del sistema tecnico, che:
- consente il trattamento delle richieste di prove su richiesta esplicita dell’utente;
- consente il trattamento delle richieste di scambio di prove o di accesso ad esse;
- consente la trasmissione delle prove tra autorità competenti;
- consente il trattamento delle prove da parte dell’autorità competente richiedente;
- garantisce la riservatezza e l’integrità delle prove;
- prevede la possibilità per l’utente di esaminare le prove che devono essere utilizzate dall’autorità richiedente competente e di scegliere se procedere o meno allo scambio delle prove;
- garantisce un adeguato livello di interoperabilità con altri sistemi pertinenti;
- garantisce un elevato livello di sicurezza per la trasmissione e il trattamento delle prove;
- non tratta le prove al di là di quanto necessario sul piano tecnico per lo scambio delle prove, e successivamente solo per la durata necessaria a tal fine.
Quindi il principio “once only” ha una sufficiente copertura regolamentare – normativa e tecnica – a livello europeo; sta ora alle legislazioni degli Stati Membri dettare le regole di dettaglio.
Lo stato dell’arte in Italia
Dal punto di vista tecnico, da ottobre 2022 è disponibile la Piattaforma Nazionale Digitale dei Dati, a cui tutte le Pubbliche Amministrazioni possono già aderire, sia come fruitori di dati e sia come erogatori.
Dal punto di vista normativo, si auspica di andare verso un superamento del principio di autocertificazione, che da un lato fa dichiarare all’utente dati o stati personali, e lascia l’onere alla PA di verificare i dati dichiarati presso le diverse Amministrazioni titolari dei dati; infatti, in uno scenario “once only”, i dati contenuti nella dichiarazione resa dall’interessato derivano da un collegamento con la banca dati di riferimento, e quindi sono già certificati fin dall’origine.
Secondo una recente ricerca, soltanto il 27% delle organizzazioni del settore pubblico in Italia ha avviato iniziative di collaborazione per la condivisione dei dati, contro l’80% a livello globale; in primo piano ci sono le barriere culturali e di fiducia.
Tra i vantaggi, ci sono l’engagement dei cittadini, il miglioramento della sostenibilità e la resilienza contro gli attacchi informatici; infatti, secondo una stima della Commissione Europea, implementando questo principio i Paesi dell’Unione possono risparmiare ogni anno 5 miliardi di euro; la somma ricomprende il risparmio di tempo e risorse per la verifica manuale dei dati (da parte delle PA richiedenti e certificanti), oltre al risparmio di tempo degli utenti nella compilazione delle istanze.
La normativa italiana è pronta per accogliere il principio “once only”?
Il CAD (articoli 18-bis, 50 e 50-ter) e le normative di attuazione (Decreto 22 settembre 2022) prevedono l’obbligo per tutte le PA di aderire alla PDND e di mettere a disposizione i propri dati, entro diverse scadenze:
a) per le pubbliche amministrazioni (di cui all’articolo 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165) – entro il 30 settembre 2023;
b) per i gestori di servizi pubblici, ivi comprese le società quotate, in relazione ai servizi di pubblico interesse – entro il 31 marzo 2024;
c) per le le società a controllo pubblico – entro il 30 settembre 2024.
Una volta che gli Enti avranno terminato l’accreditamento sulla Piattaforma e i dati saranno disponibili sulla PDND, ci sono delle normative che impongono l’utilizzo dei dati – ad esempio nella presentazione di istanze online – per il superamento dell’autocertificazione?
Facendo una prima analisi, l’art. 43 del DPR 445/2000 dispone che:
1. Le amministrazioni pubbliche e i gestori di pubblici servizi sono tenuti ad acquisire d’ufficio le informazioni oggetto delle dichiarazioni sostitutive di cui agli articoli 46 e 47, nonché tutti i dati e i documenti che siano in possesso delle pubbliche amministrazioni, previa indicazione, da parte dell’interessato, degli elementi indispensabili per il reperimento delle informazioni o dei dati richiesti, ovvero ad accettare la dichiarazione sostitutiva prodotta dall’interessato.
2. Fermo restando il divieto di accesso a dati diversi da quelli di cui è necessario acquisire la certezza o verificare l’esattezza, si considera operata per finalità di rilevante interesse pubblico (…) la consultazione diretta, da parte di una pubblica amministrazione o di un gestore di pubblico servizio, degli archivi dell’amministrazione certificante, finalizzata all’accertamento d’ufficio di stati, qualità e fatti ovvero al controllo sulle dichiarazioni sostitutive presentate dai cittadini. (comma così modificato dall’art. 39, comma 5, lettera a), legge n. 108 del 2021)
3. L’amministrazione procedente opera l’acquisizione d’ufficio, ai sensi del precedente comma, esclusivamente per via telematica.
4. Al fine di agevolare l’acquisizione d’ufficio di informazioni e dati relativi a stati, qualità personali e fatti, contenuti in albi, elenchi o pubblici registri, le amministrazioni certificanti sono tenute a consentire alle amministrazioni procedenti, senza oneri, la consultazione per via telematica dei loro archivi informatici, nel rispetto della riservatezza dei dati personali.
5. In tutti i casi in cui l’amministrazione procedente acquisisce direttamente informazioni relative a stati, qualità personali e fatti presso l’amministrazione competente per la loro certificazione, il rilascio e l’acquisizione del certificato non sono necessari e le suddette informazioni sono acquisite, senza oneri, con qualunque mezzo idoneo ad assicurare la certezza della loro fonte di provenienza.
Conclusioni
L’acquisizione d’ufficio (comma 2 e 3) va nel senso indicato, ma probabilmente sarebbe bene introdurre un riferimento più chiaro all’obbligo di utilizzo dei dati presenti sulla PDND, andando quindi verso un superamento dell’autocertificazione e dichiarazione sostitutiva dell’atto di notorietà: non è l’interessato che deve indicare i dati, ma è il modulo online che deve alimentarsi con i dati necessari, tramite collegamenti con le banche dati proprietarie (API).
Occorre quindi un adeguamento del DPR 445/2000 e del CAD, in modo da eliminare dubbi interpretativi ed applicativi, essere al passo con i tempi, ed essere precursori e stimolo del cambiamento e della vera semplificazione.