Lo schema di decreto per regolare la piattaforma che permetterà alla PA di notificare atti, provvedimenti, avvisi e comunicazioni, e di renderli disponibili telematicamente al cittadino, ha avuto il parere favorevole del Garante privacy.
La piattaforma per le notifiche PA ha l’obiettivo di rendere le comunicazioni con valore legale più semplici e meno costose, garantendo comunque la protezione dei dati dei coinvolti.
La piattaforma, secondo la bozza del Dpcm del Ministro per l’innovazione tecnologica, potrà essere adottata dalle PA e sarà gestita da PagoPA. Gli interessati potranno essere contattati via PEC. Ciò che però sembra lasciare l’amaro in bocca, in un’ottica di modernizzazione del sistema paese, è la presenza della vecchia “cara” raccomandata con ricevuta di ritorno, come ultima opzione, qualora ad esempio il destinatario sia privo di PEC o di un domicilio digitale. L’obiettivo di semplificare ed economizzare la notifica degli atti, in un Paese ove le PA si barcamenano fra vincoli di bilancio, carenze di personale e fantasiose scorciatoie, mi sembra comunque raggiunto con questo schema di predisposizione della Piattaforma.
Piattaforma notifiche PA, la normativa
Il percorso che ha portato alla manifestazione di parere positivo del Garante è iniziato nel dicembre 2019, con il bilancio di previsione per l’anno entrate. La Legge 160/2019 all’Art.1 comma 402 si proponeva di “rendere più semplice, efficiente, sicura ed economica la notificazione con valore legale di atti, provvedimenti, avvisi e comunicazioni della pubblica amministrazione, con risparmio per la spesa pubblica e minori oneri per i cittadini”. Il D.L. 76/2020 “Misure urgenti per la semplificazione e l’innovazione digitale” in un corposo Art. 26 dal titolo “Piattaforma per la notificazione digitale degli atti della P.A.” ne ha definito la cornice normativa.
Il 6 agosto 2021, con l’invio da parte del Ministro per l’Innovazione Tecnologica e la Transizione viene ingaggiato il Garante e dopo una collaborazione, definita “fruttuosa” dallo stesso Ufficio dell’Autorità per la Protezione dei Dati, si perviene alla versione definitiva e alla sua comunicazione ufficiale da parte del Garante, come ci sta abituando, mediante newsletter.
Il GDPR come sappiamo poggia la liceità di un trattamento sull’Articolo 6 del proprio dettato normativo, che ai commi 2 e 3, offre agli stati membri una certa libertà d’azione nel definire le materie e le attività di trattamento, che possano ricadere nella base giuridica dell’”Interesse pubblico”. Con il D.L. 76/2020 viene per l’appunto fornito il riferimento normativo per creare la corretta base giuridica con cui legittimare i trattamenti connessi al varo della Piattaforma, come esplicitato anche dalla stessa Autorità Italiana per la Protezione dei Dati nel proprio parere dove evidenzia che “il trattamento dei dati personali effettuato nell’ambito della “Piattaforma per la notificazione degli atti della pubblica amministrazione” rientra nell’esecuzione di un compito di interesse pubblico come stabilito dagli artt. 1, comma 402, della l. 160/2019 e 26 del d.l. 76/2020, nel rispetto di quanto previsto dall’art. 6, parr. 1, lett. e), e 3, del Regolamento, nonché dall’art. 2-ter del Codice”
La piattaforma dal punto di vista della PA: il mittente
La Piattaforma offrirà una soluzione importante per le P.A. italiane. Vuoi per mancanza di supporti tecnologici adatti, vuoi per prassi non sempre perfettamente conformi alla norma, vuoi per testi normativi spesso datati, la P.A. si trova ora a comunicare con mezzi talvolta di fortuna. La Piattaforma permetterà alla P.A. di notificare atti, provvedimenti, avvisi e comunicazioni, in alternativa alle modalità previste da altre disposizioni di legge (anche in materia tributaria) e di renderli disponibili telematicamente ai destinatari.
Le amministrazioni mittenti, attraverso un funzionario incaricato, dovranno prima aderire al servizio e poi svolgere i necessari passaggi per l’attivazione della stessa. Fatto ciò, i funzionari autorizzati, accederanno mediante SPID o CIE, potranno caricare sulla Piattaforma il documento oggetto di notifica, inserirà il codice fiscale del destinatario e il domicilio. Se il documento e la sua modalità di messa a disposizione saranno conformi alle regole tecniche, il Gestore genererà un codice IUN e si prenderà in carico l’incombenza della notifica. Al mittente verrà poi fornita Data e ora dell’accesso e presa visione dell’atto da parte del destinatario. Informazioni che verranno certificati mediante una marcatura temporale validamente opponibile dal Gestore.
La funzionalità di elenco delle attestazioni rilasciate dal Gestore con valore legale opponibili a terzi (ad es., data e ora di messa a disposizione dei documenti da parte dei mittenti, indirizzo del destinatario al momento dell’invio dell’avviso di ricezione, ecc.) permetterà di dare evidenza al mittente dello storico delle notifiche. PagoPA S.p.A., gestore della Piattaforma, invierà al destinatario un avviso, preferibilmente via PEC, per allertarlo dell’esistenza dell’atto, fornirà l’Identificativo univoco della notificazione (IUN), e le modalità di accesso alla piattaforma e di acquisizione del documento.
PEC, SPID e non solo per la comunicazione
Il canale di comunicazione preferenziale sarà l’indirizzo PEC o in alternativa un servizio elettronico di recapito certificato qualificato. La notificazione verrà effettuata in prima battuta, presso il domicilio digitale di Piattaforma eletto dal destinatario; in seconda battuta, presso il suo domicilio digitale speciale, qualora eletto; in ultima battuta, presso il “domicilio digitale generale” (ossia l’indirizzo inserito in uno degli elenchi di cui all’INI-PEC, all’IPA o all’INAD). Nell’ipotesi che tutti i suddetti domicili digitali risultino saturi, non validi o non attivi, il Gestore effettua un secondo tentativo.
Dopo due tentativi falliti, il Gestore renderà disponibile in apposita area riservata, per ciascun destinatario della notificazione, l’avviso di mancato recapito del messaggio, e darà notizia al destinatario dell’avvenuta notificazione dell’atto a mezzo di lettera raccomandata e avviso di cortesia. Se il destinatario avrà invece comunicato un recapito diverso (indirizzo email non certificato, numero di telefono, ecc.), il Gestore invierà un avviso di cortesia e lo renderà disponibile tramite il punto di accesso telematico.
E chi non ha una PEC? Il Gestore qualora il destinatario sia sprovvisto di un recapito digitale certificato idoneo, scriverà con la vecchia e “cara” raccomandata con avviso di ricevimento e ove all’indirizzo indicato non sia possibile il recapito, per cause diverse dalla temporanea assenza o dal rifiuto al ricevimento, verrano svolti accertamenti al fine di individuare un indirizzo alternativo. In assenza di tale indirizzo alternativo, l’addetto al recapito postale deposita l’avviso di avvenuta ricezione sulla Piattaforma e lo renderà così disponibile al destinatario. L’avviso di avvenuta ricezione conterrà l’indicazione delle modalità con le quali è possibile accedere alla Piattaforma e il codice IUN mediante il quale ottenere la copia cartacea degli atti oggetto di notificazione. Il Gestore invia ai medesimi destinatari anche un avviso di cortesia mediante SPID.
La raccomandata non recherà l’atto notificato ma alcune informazione di sintesi, quali indicazione di mittente e codice IUN, e le modalità con le quali accedere alla Piattaforma, anche in modalità semplificata al solo atto notificato, in favore di destinatari privi di SPID o CIE, e utilizzabile per un numero limitato di volte e per un lasso temporale prestabilito, che consentano al destinatario di estrarne copia analogica del documento informatico.
Come funziona la piattaforma per le notifiche PA
L’autenticazione alla Piattaforma e l’accesso all’area riservata avverrà tramite SPID o CIE. Aziende e persone giuridiche, potranno accedere mediante SPID o CIE dei rispettivi legali rappresentanti o di soggetti a ciò delegati. I destinatari potranno eleggere uno o più domicili digitali di Piattaforma (diversificandoli in relazione ai vari mittenti), nonché indicare un recapito digitale dove ricevere gli avvisi di cortesia.
Il destinatario fatto l’accesso potrà reperire, consultare e acquisire i documenti informatici oggetto di notificazione, visualizzando, in particolare: mittente, data e ora di messa a disposizione, atto notificato, storico del processo di notifica, che include atti opponibili a terzi e avvisi di mancato recapito, codice IUN. Il destinatario potrà scaricare o inviare a terzi copia del documento, tramite apposita funzionalità. I destinatari potranno conferire delega di accesso alla Piattaforma, per loro conto, attraverso una specifica funzionalità della Piattaforma, anche soltanto in relazione ad alcuni specifici mittenti. Indicando nome, cognome e codice fiscale del soggetto delegato, verrà elaborato un codice di accettazione per il delegato. La Piattaforma invia al destinatario, con periodicità mensile, un promemoria delle deleghe attive, e consente altresì allo stesso di monitorare alla bisogna gli accessi operati per suo conto sulla Piattaforma.
La notificazione a mezzo della Piattaforma non si applicherà al alcune tipologie di atti quali ad esempio, quelli relativi al processo civile o penale.
Piattaforma notifiche PA, gli aspetti privacy
I mittenti saranno titolari del trattamento e dei dati inclusi negli atti notificati, nonché della trasmissione e conservazione degli stessi. Il soggetto che postalizzerà la raccomandata sarà titolare del trattamento per l’espletamento del servizio di spedizione analogica. Il Gestore sarà titolare del trattamento dei dati necessari all’accesso alla Piattaforma a mezzo SPID o CIE da parte dei destinatari, dei dati necessari per l’adesione e l’accesso dei mittenti, e di ogni altro dato inerente alla gestione di ogni attività strumentale all’utilizzo della Piattaforma stessa, ivi inclusa l’acquisizione dei domicili digitali delle persone fisiche.
Il Gestore sarà responsabile del trattamento, ex art. 28 del Regolamento, per le attività necessari alla gestione del servizio di notificazione, di invio degli avvisi di cortesia e degli avvisi di pagamento tramite la Piattaforma. Il Gestore sarà chiamato ad effettuare una valutazione di impatto ai sensi dell’art. 35 del Regolamento, dove indicare, tra l’altro, le misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio, nonché le eventuali misure poste a tutela dei diritti e delle libertà degli interessati. Sulla DPIA vi sarà consultazione del Garante, come espressamente richiesto dall’Autorità. Il Gestore conserverà i documenti oggetto delle attestazioni fino a dieci anni dalla data del perfezionamento della notifica per il destinatario, mentre gli atti oggetto di notificazione restano disponibili sulla Piattaforma per centoventi giorni successivi alla data di perfezionamento della notifica per il destinatario.
Il parere del Garante privacy
Il Garante ha suggerito alcune migliorie già recepite dal Ministro per l’innovazione tecnologica e la transizione e nel proprio parere, che riporta gli esempi più significativi. Il mittente, nel momento in cui comunicherà al Gestore i dati del destinatario, sarà tenuto a precisare se l’atto da notificare riguardi l’attività imprenditoriale o professionale eventualmente svolta dal medesimo, al fine di evitare che comunicazioni avente carattere personale possano essere recapitate al domicilio digitale professionale, spesso accessibile anche ai collaboratori d’ufficio, nel rispetto del principio di limitazione della finalità del trattamento.
Il Garante in ottica di minimizzazione dei dati ha ribadito che il Gestore debba acquisire le informazioni minime necessarie e che queste debbano essere esatte. Nello specifico il Gestore dovrà acquisire il domicilio digitale generale del destinatario solo ove necessario, ovvero in assenza di un domicilio digitale di Piattaforma o speciale, e che il domicilio digitale generale del destinatario, eventualmente acquisito per la notificazione, debba consistere in quello disponibile al momento dell’invio, nel rispetto del principio di esattezza.
Nel caso di doppio invio (es. PEC non attiva), il principio di esattezza si paleserà nella verifica che fra il primo ed il secondo tentativo di notificazione, il domicilio digitale di Piattaforma non sia stato nel frattempo modificato dal destinatario. A tutela dell’interessato, nei confronti di possibili accessi non autorizzati da parte di soggetti delegati, vi sarà la possibilità di monitorare gli accessi operati per suo conto sulla Piattaforma. È stato richiesto che l’avviso di avvenuta ricezione recapitato in forma cartacea indichi anche il mittente, nel rispetto del principio di trasparenza. È stato precisato che le attestazioni opponibili a terzi rese dal Gestore rechino altresì l’ora degli eventi di riferimento, nonché il momento a cui riferire l’attestazione del domicilio digitale generale.
È stato esplicitato che i dati trattati tramite la Piattaforma possono appartenere anche alle tipologie di cui agli artt. 9 e 10 del Regolamento. Il Garante ha richiesto che il Gestore per finalità di miglioramento dei servizi erogati, nonché per lo sviluppo della Piattaforma possa utilizzare esclusivamente dati in forma aggregata.
I Rischi della piattaforme notifiche PA
I rischi connessi all’implementazione della Piattaforma e dei servizi connessi implicano dei rischi elevati per i diritti e le libertà degli interessati, ai sensi dell’art. 35 del Regolamento, coinvolgendo trattamenti su larga scala (potenzialmente l’intera popolazione italiana), essendo le informazioni trattate di carattere personale e potendo rientrare anche nella categoria di dati particolari di cui agli artt. 9 e 10 del Regolamento; essendo i documenti destinati a produrre effetti giuridici sugli interessati (dall’avvenuta notificazione degli atti iniziano a decorrere i termini connessi a specifici adempimenti) e comportando interazioni e scambi di dati tra soggetti diversi (le amministrazioni mittenti, il Gestore della Piattaforma, il fornitore del servizio universale, l’addetto al recapito postale).
In particolare, il Garante osserva che i rischi si presentano, oltre che in relazione alle modalità di accesso dei diversi soggetti anche al loro potenziale numero (personale autorizzato dei soggetti mittenti, delegati). Il Garante sottolinea che il ricorso al meccanismo della delega, pur nella sua indubbia utilità, introduce maggiori rischi per la riservatezza delle informazioni, suscettibili, in particolare, di accessi non autorizzati da parte di terzi. Ciò, soprattutto, in caso di deleghe attribuite a organizzazioni complesse (a cui l’interessato può rivolgersi per il disbrigo di pratiche), dove potrebbero trovarsi a essere delegati un numero elevato di soggetti, senza che il destinatario ne abbia contezza. Inoltre, le stesse organizzazioni potrebbero risultare delegate da numerosi soggetti, avendo così accesso, nel tempo, a una moltitudine di dati riferibili a un numero elevato di interessati.
Un ulteriore profilo di rischio deriva dalla possibilità che un soggetto terzo si presenti allo sportello dell’ufficio postale, munito dell’avviso di ricezione, in luogo del reale destinatario e a sua insaputa, acceda abusivamente, raggirando l’ignaro operatore dell’ufficio postale.
Conclusioni
Se l’obiettivo dichiarato fin dal dicembre 2019 in quel comma 402 era quello di rendere “più semplice, efficiente, sicura ed economica la notificazione con valore legale di atti, provvedimenti, avvisi e comunicazioni della pubblica amministrazione, con risparmio per la spesa pubblica e minori oneri per i cittadini”, credo che si possa essere soddisfatti, sperando che l’applicazione concreta di questi propositi non mi smentisca.
Oggi le notifiche avvengono nelle modalità più disparate e spesso anche in contrasto con le indicazioni normative specifiche. Il servizio di messo comunale, istituito nel lontano 1847 dal Regno di Sardegna, è ancora oggi la figura, che dovrebbe provvedere alla notifica degli atti. Figura spesso sottodimensionata e/o non adeguatamente supportata. In alternativa si ricorre alla postalizzazione dell’atto, ogni amministrazione contrattando autonomamente i costi del servizio. Oppure si contatta al telefono il destinatario e lo si invita a recarsi presso gli uffici comunali per ritirare l’atto.
In questa situazione, l’idea di avere una piattaforma, da cui l’autorizzato possa, attraverso poche operazioni, caricare e spedire notifica al destinatario, è quasi rivoluzionaria. Il fatto che vi sia una sola piattaforma e che il servizio di postalizzazione sia unico e contrattualizzato da un unico soggetto per tutto il territorio nazionale permetterà senz’altro di ottenere una certa economicità. Se semplificazione, efficaci ed economicità mi sembrano essere tre obiettivi potenzialmente raggiunti, nutro qualche dubbio sull’ultimo obiettivo. Riusciremo ad implementare una piattaforma realmente sicura?
