Con provvedimento del 01 novembre il Garante Privacy ha dato il via libera alle regole predisposte dall’Agenzia per l’Italia digitale (AgID) per l’accesso telematico ai servizi della Pubblica amministrazione, anche attraverso l’uso della App IO.
Un via libera che apre a un futuro speciale per quest’app.
L’App IO epicentro della PA digitale
L’App IO si conferma così centrale nel piano di digitalizzazione dei rapporti fra cittadini e amministrazione, e le Linee Guida sono il preludio di un’implementazione che consentirà alle pubbliche amministrazioni e ad altri soggetti erogatori di pubblici servizi di rendere disponibili agli utenti i propri servizi digitali via app.
Le Linee Guida prevedono la creazione di un punto di accesso costituito da:
– un front-end (costituito dall’App IO e dalla corrispondente web app) a cui è possibile accedere via SPID o CIE (stupisce l’assenza della CNS quale metodo di accesso alla web app, prescritto dall’art. 66 comma 2 lett. d) Codice dell’Amministrazione Digitale (CAD)), anche se va detto che le Linee Guida si limitano a prescrivere di garantire accesso tramite SPID e CIE, senza certo precludere l’utilizzo di ulteriori metodologie di accesso, per di più se prescritte);
– un back-end, ovvero il cuore dell’infrastruttura, che gestisce le interazioni tra il front-end accessibile al cittadino e il back office accessibile all’ente pubblico che vuole offrire tramite la nuova piattaforma i propri servizi;
– un back office, ovvero un portale dedicato ai soggetti pubblici erogatori. Il back office è un portale attraverso cui le singole amministrazioni possono aderire al punto di accesso e così erogare specifici servizi attraverso il sistema di accesso telematico disciplinato dalle Linee Guida. La gestione del back office, particolarmente delicata per la necessità di garantire l’accesso solo ai soggetti pubblici “accreditabili” passa per rigide procedure di controllo disciplinate dalle Linee Guida, che ad esempio prescrivono verifiche periodiche circa l’elenco dei soggetti erogatori accreditabili nonché l’onere per le pubbliche amministrazioni di accedere solo tramite propri delegati amministrativi e di rimuovere quei soggetti che hanno perso questa qualifica.
Queste Linee Guida, già proposte in consultazione fino allo scorso giugno, sono state a lungo concertate con il Garante Privacy, che ha avuto numerosi contatti con i rappresentanti AgID e PagoPa per assicurare che i nuovi sistemi rispettassero i diritti di riservatezza e tutela dei dati dei cittadini.
PagoPa sarà infatti chiamato a gestire la nuova piattaforma di accesso telematico ai servizi della PA, rivestendo quindi, a fini privacy, il ruolo di titolare del trattamento, sebbene “unicamente per le attività necessarie alla progettazione, allo sviluppo, alla gestione e all’implementazione del Punto di accesso telematico, nonché per quelle attività che gli sono delegate dagli utenti o che gli sono specificamente attribuite dalla legge”, per quanto riguarda invece i servizi accessibili sulla piattaforma saranno titolari dei dati i singoli erogatori delle funzioni offerte.
L’ok del Garante privacy
Il Garante, nel proprio provvedimento, plaude in particolare all’attenzione riservata dagli sviluppatori alla realizzazione del punto di accesso rispettando i principi di privacy by design e by default, con la bozza proposta in consultazione che dedica un lungo articolo (declinato in 13 sotto paragrafi) alla sicurezza e protezione dei dati personali.
Le Linee Guida dedicano poi specifiche disposizioni riguardo al trattamento di dati sanitari (art. 8.3 della bozza) e giudiziari (art. 8.4.1 della bozza) nonché alla possibilità di integrare le funzionalità del punto di accesso con altre piattaforme digitali della P.A. (Allegato 3 della bozza, nominato “Integrazione del Punto di accesso telematico con le piattaforme digitali previste dal CAD e normative specifiche”) con varie disposizioni dedicate alla modalità di questa integrazione per la tutela dei dati e la qualifica ai fini privacy dei vari soggetti titolari di queste piattaforme (ad esempio andranno integrate, oltre ovviamente ai tre strumenti già menzionati, ovvero PagoPa, SPID e CIE, anche l’ANPR, l’IPA, l’indice INIPEC, l’INAD, il PDND e la piattaforma per la notificazione digitale degli atti della pubblica amministrazione).
Le raccomandazioni del Garante
Il Garante chiude comunque il proprio provvedimento con alcune importanti raccomandazioni circa il trasferimento di dati in paesi terzi, importanti anche perché forniscono agli operatori utili indicazioni circa il parere del Garante privacy in merito al trasferimento dati in USA dopo il “terremoto” Schrems II.
Se le Linee Guida ad esempio raccomandano al gestore ed agli erogatori di servirsi di partner basati in Europa, resta la possibilità di un trasferimento dati in paesi terzi (ad esempio nel caso di servizi offerti solo da operatori situati in paesi terzi o nel caso in cui le ragioni economiche prevalgano su quelle di “localizzazione” del partner), nel caso il Garante ricorda che sarà necessario “assicurare un livello di protezione adeguato ai dati trasferiti (ad esempio, le clausole contrattuali standard adottate dalla Commissione europea)” nonché “verificare se la legge o la prassi del Paese terzo in cui si trasferiscono i dati permettono alle autorità pubbliche locali ingerenze nei diritti delle persone interessate che vadano oltre quanto strettamente necessario per conseguire l’obiettivo legittimo perseguito e non esista contro tali ingerenze una tutela giuridica efficace”
I rinvii
Nel rendere il proprio parere, il Garante fa anche un importante rimando alla Valutazione di Impatto sulla protezione dei dati che sarà onere effettuare da parte di PagoPa, precisando che riserverà l’analisi delle ulteriori misure di dettaglio che saranno adottate al momento dell’esame di questo essenziale complemento alla normativa.
Ulteriore rinvio è quello di alcuni specifici aspetti tecnici (es. sessioni di lunga durata nell’App IO e accesso ai servizi di altre amministrazioni con meccanismi di federated identity) che saranno demandati ad altre Linee Guida AgID.
Secondo l’Allegato 2 della bozza sottoposta alle osservazioni degli utenti da AgID “il Gestore (Pago Pa) può prevedere la creazione di una sessione utente, con un time to live massimo di 30 giorni, accessibile tramite codice o altri metodi di identificazione offerti dal dispositivo stesso, in linea con l’evoluzione tecnologica e gli standard di settore (es. riconoscimento impronta digitale)”
Particolarmente interessanti saranno gli sviluppi del modello di Federated Identity, con AgID che lavora ad un suo modello di gestione di questi modelli di identificazione condivisi (GFID) sin dal 2011 e che ora apre alla possibilità di un accesso biometrico per consentire l’interfacciarsi di utenti e PA.
Il futuro dell’App IO
Queste Linee Guida sono un pilastro fondamentale per dare esecuzione al principio, centrale, contenuto all’art. 7 del CAD, secondo cui chiunque ha diritto di fruire dei servizi erogati dalle pubbliche amministrazioni “in forma digitale e in modo integrato, tramite gli strumenti telematici messi a disposizione dalle pubbliche amministrazioni”.
Oltre all’ovvia declinazione di questa normativa su uno strumento web (accessibile da qualsiasi browser), le Linee Guida mettono al centro l’App IO per quanto riguarda lo sviluppo su smartphone del rapporto cittadino/PA.
Possiamo quasi parlare di una “rinascita” per l’App IO, dopo la severa bocciatura dello scorso giugno per la condivisione di dati oltreoceano e per l’attivazione di servizi non richiesti e notifiche push, di cui avevamo parlato qui, che sembrava averne messo in discussione il ruolo centrale per lei individuato dal Governo e da AgID.
Ed infatti il Garante nel rendere il proprio provvedimento ricorda i “provvedimenti relativi ai trattamenti di dati personali effettuati mediante l’App IO” e, in particolare “il provv. n. 230 del 9 giugno 2021, doc. web n. 9668051, e il provv. n. 242 del 16 giugno 2021, doc. web n. 9670061”.
I problemi sembrano però ormai alle spalle e dopo gli interventi correttivi di PagoPa l’App Io sembra pronta per ritornare al centro della digitalizzazione su mobile dell’amministrazione italiana, diventando il “prodotto” più importante dell’ecosistema di accesso telematico ai servizi della Pubblica amministrazione.
